Webサイト、Webシステムのセキュリティ診断

東京印刷では、IPAが情報公開する「情報セキュリティサービス基準適合サービスリスト」に登録され、且つ、世界的なセキュリティ基準であるOWASPやWASCにのっとりセキュリティ診断を行う専門企業と提携し、お客様のWebサイト、Webベースのシステムをセキュリティ診断いたします。金融機関を含む民間企業や自治体、中央官庁およびその外郭団体など、さまざまな環境における脆弱性検査を経験した診断技術者が実施いたします。

セキュリティ診断サービスの概要

対象組織(一例)

  • 民間企業のWebサイト
  • 県庁、市町村役場のWebサイト
  • 重要情報・個人情報を取り扱う社内システムを運用して いる組織。
  • Webアプリケーションを開発している開発組織。(納品前診断、改編・機能追加時の診断など)
  • クラウドサービスを提供している組織。

診断の概要

Webアプリケーション診断

動的遷移部分(例:登録ボタン、検索ボタン、保存ボタン押下した時など)に対し、診断ツール及び手動により脆弱性を調査します。

【動的遷移とは】
サーバ側では受け取ったパラメータと値に応じて動的にページを生成し、アクセス者に結果を返す、という流れが発生する処理がセキュリティ診断の対象となります。

主な診断内容

*以下は一例であり、診断対象のWebアプリケーション等により診断項目は変わります。

◆目視によるWebアプリケーションの挙動確認
◆フォームの入力による挙動確認
◆アクセス制御の確認

主な診断項目

*以下は一例であり、稼働しているWebアプリケーション等により診断項目は変わります。

インジェクション、パストラバーサル、XML外部エンティティ参照 (XXE)、オープンリダイレクト、認証回避、ログアウト機能、パスワードリセットの不備、CSRF、セッションフィクセイション、クエリストリング情報の漏洩、キャッシュからの情報漏洩、不要なHTTPメソッド、公開不要な機能・ファイル・ディレクトリの存在 など

サーバ診断

対象システムのサーバやネットワーク機器に不正侵入者と同等の手法で貴社のネットワークに存在する脆弱性を調査いたします。これよって検出された脆弱性を分析し、具体的な対策方法含めた報告書を提出いたします。グローバルIPを持つ機器にはインターネットを経由しての診断、社内IPを持つ機器には貴社に訪問して診断を実施します。

主な検査項目

*以下は一例であり、稼働しているOSやサービス等により診断項目は変わります。

◆OSやミドルウエアで、脆弱なバージョンを使用していないか
◆セキュリティパッチの適用等、適切な運用がされているか
◆開いてるポートの診断(番号を通知するだけでなく、使用しているサービスの種類を特定)
◆問題のあるサービスが稼働していないか
◆第三者への攻撃の踏み台となる危険性はないか
◆脆弱性のある暗号方式が使用されていないか
など

*実施時にサーバが不安定となるようなパケットを流す検査は実施いたしません。
Dos攻撃、BOF攻撃などは可能性レベルとして報告いたします。

サービスの手順(例)

  • ご相談、ヒアリング
  • 提案書および見積り作成
  • ご注文
  • 診断対象、診断日程の決定
  • 実施計画書の提出
  • 診断実施
  • 報告書提出
  • 修正
    *お客様または保守委託先の作業となります。
  • フォローアップ診断(オプション)