サービス内容
主な診断項目は以下の通りです。経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。
| クロスサイトスクリプティング診断 | 不正なスクリプト文字列やHTMLタグなどがWebページに挿入可能かどうかチェックします |
|---|---|
| SQLインジェクション診断 | Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします |
| セッション管理診断 | セッション管理に使用されている情報が推測できるかなど、Webアプリケーションのセッション管理に不備がないかチェックします |
| 認証診断 | 認証機能を回避できるかなど、認証機能に不備がないかチェックします |
| ファイル拡張子診断 | 不正なファイル操作が行われないかチェックします |
| OSコマンドインジェクション診断 | 不正なコマンドを実行できないかチェックします |
| ディレクトリトラバーサル診断 | ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします |
| 権限昇格診断 | ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします |
| パラメータ書き換え診断 | パラメータの書き換えや追加を行い、問題が発生しないかチェックします |
| Webアプリケーション固有の問題についての診断 | 診断対象Webアプリケーション固有の動作に利用者に影響のある問題がないかチェックします |
診断結果報告書イメージ
診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。
よくあるご質問
- アマゾン ウェブ サービス(AWS)上のWebアプリケーションを診断する時に事前申請は必要ですか。
- 必要ありません。AWSでは、特定のEC2インスタンスタイプにおいて、診断実施が非推奨となっています。
AWSの「侵入テストのAWSカスタマーサポートポリシー」ページにて、該当するインスタンスタイプの使用有無を事前にご確認ください。 - 英語によるサービスの提供は可能でしょうか。
- はい。可能です。ご相談時にお知らせください。
- 再診断は可能でしょうか。
- はい。可能です。報告書の納品から1ヶ月間のサポートとして、危険度の高い脆弱性はご希望に応じて再診断いたします。診断員がお伺いして再診断する場合は、別途お見積もりになります。詳しくは弊社までご相談ください。
価格
参考価格:1サイト(20画面遷移) 1,000,000円~
* 上記は平日日中、インターネット経由で診断を行った場合の金額です。
* お客様のシステム構成によりお見積もり金額は、異なる場合があります。
お見積りについて
「概算のお見積もり」をご希望のお客様は、お問合せ時に診断対象(システム毎の画面遷移数)の情報を頂けると、早めに概算お見積書の提出が可能です。
※ 画面遷移数の情報については下記の「画面遷移数の計算方法」を参照ください。
概算お見積り用計算方法
ラックのWebアプリケーション診断は、「サイト数」と「画面遷移数」をもとに、金額と作業スケジュールをお見積もりいたします。
【サイトの数え方】
デバイスによるサイト数
デバイスに関係なく、アクセスするWebアプリケーションが1つの場合は、1サイトと数えます。
(PCサイトと同じ扱いで診断を実施します。)
デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイトと数えます。
【画面遷移数】
リンクやボタンを押下して、対象となる画面遷移数(リクエスト数)※を数えます。
例)ログイン画面の場合
例)同一画面内に複数のページを表示する場合
例)検索画面等で同一画面内に処理が行われる場合
※ 画面遷移時に生じるブラウザからサーバへのリクエストを改ざんし脆弱性の有無を確認します。そのため、お見積りの単位は画面遷移数(リクエスト数)としています。1リクエストあたりのパラメータ数の上限は20パラメータ迄としております。20パラメータを超える場合は、20パラメータ毎に1画面遷移と数えます。50パラメータの場合は3遷移と数えます。
