Webアプリケーション診断

Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。Webブラウザを利用する一般的なWebアプリケーションだけでなく、SOAPを利用したWebサービスへの診断も行うことができます。

主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用します。これにより、お客様が独自に作り込んだアプリケーションであっても、潜在するセキュリティ上の問題のほとんどを発見することができます。

また、発見された問題に対して、具体的な対策方法をアドバイスし、適切な対策の実施を支援します。

主な診断項目

• ユーザ認証方式のチェック
  ユーザ認証を回避してログインされる危険性がないか、ログインIDやパスワードの推測・総当り攻撃への強度が十分かなどを診断します。
• セッション管理方式のチェック
  セッションハイジャックにより別ユーザになりすまされる危険性がないか、Cookieの設定が適切かなどを診断します。
• トランザクション処理のチェック
  権限のない機能を利用される危険性がないか、不正な実行順序や入力値によってシステムが悪用される危険性がないかなどを診断します。
• クロスサイトスクリプティング攻撃、SQLインジェクション攻撃への対策のチェック
  入力データが正しく検証されているか、データベースで不正な操作が行われる危険性がないかなどを診断します。
• 暗号化方式のチェック
  重要情報が暗号化されて送信されているか、暗号化の強度は十分かなどを診断します。
• ユーザ側のセキュリティへの配慮のチェック
  フィッシング詐欺による被害を受けにくい仕様になっているか、ユーザが安心してサイトを利用できるような仕様になっているかなどを診断します。
• XML処理固有のセキュリティ問題への対策のチェック
  SOAPを利用したWebサービスなど、XMLを取り扱うアプリケーションへの診断の場合には、XML処理固有のセキュリティ問題への対策が適切に行われているかを診断します。

サービスイメージ

サービスのご提供フロー

特長

Point.1 担当者のスキル・経験に裏付けられた高い技術力

Point.2 大手金融機関からも認められた実績あるサービス

Point.3 最新の攻撃手法に対応

Point.4 その他の特長

サービスメニュー

Webアプリケーションに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援します。

・診断対象

経験豊富なコンサルタントの分析を元に、お客様と合意のうえ決定します。
PC向けサイトのほか、携帯サイト、スマートフォンサイトも診断可能です。

・診断項目

最新の攻撃事例・各種セキュリティ規格を考慮した上、診断で培ったノウハウを活用した、NRIセキュア独自の診断項目を使用します。

・報告書

診断の成果として、問題点と対策をまとめた報告書をご提供します。

• Webアプリケーション診断　プロフェッショナル
  専門家によるマニュアル診断（手作業）を行います。ツールによる診断だけでは発見できないWebアプリケーションのロジックに踏み込んだ脆弱性を、高精度・高品質な診断で発見します。
• Webアプリケーション診断　ハイブリッド
  対象画面の特性にあわせて、マニュアル診断（手作業）とツール診断を併用します。マニュアル診断の精度とツール診断の効率性により、品質・量・コスト、全てに高いパフォーマンスを実現します。

アドオンメニュー

金融システム機関向け　特定システム専用診断サービス
◇第一弾：FX（外国為替証拠金取引）システム専用セキュリティ診断

・対象範囲

FXシステムの全機能を中心に、評価項目に沿って脆弱性が潜在する可能性がある箇所を選定し、お客様と合意のうえで決定します。

・診断項目

金融システムのビジネスロジックを熟知し、不正な取引に繋がる可能性を診断する、NRIセキュア独自のFXシステム専用の診断項目を使用します。

※特許取得済み。特許番号：特許第6085080号（P6085080）

◇第二弾：サービス開発中

料金

個別見積り