Webアプリケーション診断

Webアプリケーションに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援

Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。Webブラウザを利用する一般的なWebアプリケーションだけでなく、SOAPを利用したWebサービスへの診断も行うことができます。

主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用します。これにより、お客様が独自に作り込んだアプリケーションであっても、潜在するセキュリティ上の問題のほとんどを発見することができます。

また、発見された問題に対して、具体的な対策方法をアドバイスし、適切な対策の実施を支援します。

主な診断項目

  • ユーザ認証方式のチェック
    ユーザ認証を回避してログインされる危険性がないか、ログインIDやパスワードの推測・総当り攻撃への強度が十分かなどを診断します。
  • セッション管理方式のチェック
    セッションハイジャックにより別ユーザになりすまされる危険性がないか、Cookieの設定が適切かなどを診断します。
  • トランザクション処理のチェック
    権限のない機能を利用される危険性がないか、不正な実行順序や入力値によってシステムが悪用される危険性がないかなどを診断します。
  • クロスサイトスクリプティング攻撃、SQLインジェクション攻撃への対策のチェック
    入力データが正しく検証されているか、データベースで不正な操作が行われる危険性がないかなどを診断します。
  • 暗号化方式のチェック
    重要情報が暗号化されて送信されているか、暗号化の強度は十分かなどを診断します。
  • ユーザ側のセキュリティへの配慮のチェック
    フィッシング詐欺による被害を受けにくい仕様になっているか、ユーザが安心してサイトを利用できるような仕様になっているかなどを診断します。
  • XML処理固有のセキュリティ問題への対策のチェック
    SOAPを利用したWebサービスなど、XMLを取り扱うアプリケーションへの診断の場合には、XML処理固有のセキュリティ問題への対策が適切に行われているかを診断します。

サービスイメージ

サービスイメージ

サービスのご提供フロー

サービスのご提供フロー



特長

Point.1 担当者のスキル・経験に裏付けられた高い技術力

主担当としてセキュリティ診断を実施するコンサルタントは、下記の条件をすべて満たす業界トップレベルの高いスキル・豊富な経験を保有しています。

  • セキュリティ診断の経験が2年以上、かつ100システム以上を担当
  • 米国The SANS Instituteが主催する専門的なトレーニングコースを修了
  • 各種セキュリティ関連資格を保有

Point.2 大手金融機関からも認められた実績あるサービス

金融機関や東証一部上場企業を中心とする多くの企業で実績があります。大手オンライントレード、オンラインバンキングなどのサイトのセキュリティ向上に貢献し、お客様より高い評価を頂いています。

  • 合計1,300件以上の診断実績 ※2011年4月1日現在
  • 銀行・証券など、高度なセキュリティが要求されるサイトでの実績多数

Point.3 最新の攻撃手法に対応

頻発する不正アクセス事件や新しい攻撃方法に対応するため、診断項目や利用するツールの見直しを随時行っています。

Point.4 その他の特長

  • 実施1ヶ月以内の対策状況の確認
  • 診断結果の迅速なフィードバック(3営業日以内)
  • ISMSに準拠した機密情報の厳格な取り扱い
  • 発見された問題点への推奨対策を含む報告書
  • 過去の診断実績と比較した評価(ランキング)



サービスメニュー

Webアプリケーションに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援します。

・診断対象

経験豊富なコンサルタントの分析を元に、お客様と合意のうえ決定します。
PC向けサイトのほか、携帯サイト、スマートフォンサイトも診断可能です。

・診断項目

最新の攻撃事例・各種セキュリティ規格を考慮した上、診断で培ったノウハウを活用した、NRIセキュア独自の診断項目を使用します。

・報告書

「速報(ブリーフメモ)」「最終報告書」の2種類をご提供します。英語・中国語も対応可能です(別料金)。

  • Webアプリケーション診断 プロフェッショナル
    専門家によるマニュアル診断(手作業)を行います。ツールによる診断だけでは発見できないWebアプリケーションのロジックに踏み込んだ脆弱性を、高精度・高品質な診断で発見します。
  • Webアプリケーション診断 ハイブリッド
    対象画面の特性にあわせて、マニュアル診断(手作業)とツール診断を併用します。マニュアル診断の精度とツール診断の効率性により、品質・量・コスト、全てに高いパフォーマンスを実現します。

アドオンメニュー

金融システム機関向け 特定システム専用診断サービス
◇第一弾:FX(外国為替証拠金取引)システム専用セキュリティ診断

・対象範囲

FXシステムの全機能を中心に、評価項目に沿って脆弱性が潜在する可能性がある箇所を選定し、お客様と合意のうえで決定します。

(例) PC向け Webアプリケーション、リッチクライアント
スマートフォン向け Webアプリケーション、アプリケーション
携帯向け Webアプリケーション
(FXトレードを行う全てのチャネルが対象)

・診断項目

金融システムのビジネスロジックを熟知し、不正な取引に繋がる可能性を診断する、NRIセキュア独自のFXシステム専用の診断項目を使用します。

※関連特許出願準備中 (2011年5月25日現在)

◇第二弾:サービス開発中

サービスイメージ

料金

個別見積り

パンフレット