プロの診断で
ネットワーク環境をより安全に

脆弱性診断
サービス

サービス概要
プロの診断でネットワーク
環境をより安全に

インターネット上に公開されているネットワーク機器やWebサイトといったIT資産は、常にサイバー攻撃の脅威に直面しています。これらの資産にセキュリティ上の欠陥(=脆弱性)が存在していると、その脆弱性がサイバー攻撃の標的として狙われ、ネットワーク内部への侵入・情報漏えいといった重大インシデントに発展するリスクがあります。

脆弱性診断サービスとは、ネットワーク機器やWebアプリケーションに対して、実際のサイバー攻撃と同じ手法を用いて疑似攻撃を試行し、サイバー攻撃が成立しうる脆弱性の有無を診断するサービスです。

《 脆弱性診断サービスのモデル 》

✦ 専門エンジニアによる手動診断

ソリトンシステムズの脆弱性診断は、専⾨エンジニアによる⼿動診断を基本とし、プラットフォーム診断、Webアプリケーション診断のいずれにも対応可能です。
⼿動診断は、汎⽤の脆弱性診断ツールでは検出できない脆弱性パターンにも対応できるため、脆弱性検知の網羅性が⾼く、⾼度なセキュリティレベルを指向する診断に適しています。

✦ 検出された脆弱性と対処方法をご報告

診断で検出された脆弱性は診断担当エンジニアが報告書にまとめて納品します。
報告書には、脆弱性の詳細のほか、技術的な対処⽅法まで詳細に記載されているため、速やかに問題箇所の修正アクションをとることができます。

2つの診断サービス
プラットフォーム診断と
Webアプリケーション診断

診断対象に合わせてプラットフォーム診断と
Webアプリケーション診断の
2つの診断をご⽤意しています。

✦ プラットフォーム診断とWebアプリケーション診断の違い

プラットフォーム診断 Webアプリケーション診断
診断対象 Webサーバなどの、ネットワーク機器のOSや
ミドルウェアの脆弱性、設定不備を診断		 Webサイトにページ改ざんや情報漏えい等に
つながる脆弱性が無いかを診断
見積単位 診断対象機器のIP数 診断対象のURLを頂ければ調査のうえ、
お見積りいたします

プラットフォーム診断 概要

  • 診断対象

    ネットワーク機器のOSや
    ミドルウェア

  • 診断方法

    専門エンジニアによる手動診断
    ※一部脆弱性診断ツールを併用します

  • 成果物等

    診断終了から10営業日で
    診断結果報告書を納品

▼ プラットフォーム診断の特長

高い脆弱性検出能力

専門エンジニアの手動診断(商用診断ツール併用)により脆弱性検知の網羅性が高いことが特長です。手動診断は、複数の脆弱性を組み合わせた攻撃や既存の攻撃手法の応用といった実際の攻撃に近い視点での診断が可能です。

ブラックボックス方式

実際のハッカーと同じ視点でブラックスボックス方式のテストを実施します。(対象がサーバもしくは ルータ・FWなどのネットワーク機器のいずれであっても、IPアドレスをご指定いただくだけで診断が可能です)

安全性への配慮

充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について、最大限に配慮した診断を実施します。

▼ プラットフォーム診断項目(大分類)

  • OSの脆弱性チェック
  • ミドルウェアの脆弱性チェック
  • アプリケーションの脆弱性チェック
  • デフォルトアカウント使用のチェック
  • 推測可能なパスワードのチェック
  • 通信の盗聴可否のチェック(暗号化)
  • 第三者中継(SPAM)のチェック
  • 証明書の有効性チェック
  • サンプルスクリプトの有無のチェック

Webアプリケーション診断 概要

  • 診断対象

    Web アプリケーション
    (企業・ECサイト等)

  • 診断方法

    専門エンジニアによる手動診断
    ※一部脆弱性診断ツールを併用します

  • 成果物等

    診断終了から10営業日で
    診断結果報告書を納品

▼ Webアプリケーション診断の特長

ソリトンシステムズのWebアプリケーション診断は、IPA (独⽴⾏政法⼈ 情報処理推進機構) 発⾏の「安全なウェブサイトの作り⽅」や、OWASP (The Open Worldwide Application Security Project) の OWASP TOP10 といった脆弱性診断のガイドラインに準拠して実施されます。

専⾨エンジニアの診断により、検出された脆弱性は、複数のエンジニアによる検証を⾏って誤検知を排除し、確実に脆弱性と認定されたもののみを報告書としてお納めいたします。

▼ Webアプリケーション診断項目一覧

  • セッション管理の不備
  • HTTPレスポンス分割
  • セッションフィクセーション
  • リモートファイルインクルード
  • クロスサイトリクエストフォージェリ
  • 通信の暗号化
  • クロスサイトスクリプティング
  • 証明書の不備
  • Refererによる情報漏えい
  • OSコマンドインジェクション
  • ユーザID等の調査
  • ディレクトリトラバーサル
  • 詳細なエラーメッセージ
  • XMLインジェクション
  • 拡張子偽装
  • SSIインジェクション
  • XPathインジェクション
  • アプリケーション固有の問題
  • XQueryインジェクション
  • フォーマットストリング
  • LDAPインジェクション
  • バッファオーバーフロー
  • SQLインジェクション
  • コメント・デバッグ情報

サービス仕様

診断方法 専門エンジニアの手動による脆弱性診断(診断ツール併用)
診断作業時間帯 平日10:00~18:00(夜間・深夜・休日オプションあり)
診断速報 診断中に危険度の高い脆弱性が発見された場合、速報をご連絡いたします
納品物 診断結果を診断結果報告書として納品いたします
報告会 診断担当エンジニアが診断結果を報告いたします
再診断(オプション) 脆弱性改修後の再診断も可能です
価格 サービスの性質上、診断範囲や対象により診断工数が異なりますため、
別途お見積いたします

資料請求やご相談等
お気軽にお問い合わせください

お問い合わせ