サービス紹介

サービス紹介動画

特長

脆弱性診断内容

AppScanとは

サービス紹介動画

Web 脆弱性診断サービス

※動画再生時には音声が流れますので、音量にご注意ください。

Web 脆弱性診断サービス 診断の流れ

再生時間:58秒
※動画再生時には音声が流れますので、音量にご注意ください。

【期間限定】基本料金30万円→25万円※100ページまで受付期間:2017年3月31日(金)まで

特長

日本初のクラウド配信型Appscanサービスの図解

日本初のクラウド型AppScan。

バックグラウンドは世界有数のセキュリティ研究開発機関「X-Force®」※1

最短3営業日でのレポーティングを実現! クラウド型診断の実現によりスピーディーな診断レポートの提示が可能。
また、全体診断結果および脆弱性項目の個別抽出など、レポート誌面も充実。

※「X-Force®」とは
IBM X-Force®研究開発は、世界で最も有名な民間セキュリティ研究開発チームの1つです。セキュリティ専門家が、73,000件を超えるセキュリティぜい弱情報をもつデータベースやグローバルWebクローラーおよびその国際的なスパム・コレクターからの、さまざまなソースのデータを監視し、分析しています。

X-Force®の詳細はこちら

他社ツールとの診断結果比較

PSCが提供するAppScanと他社ツールとの脆弱性診断結果の比較をご紹介します。診断事例から、他社ツール中心手法とX-Force®手法の違いがわかります。
AppScanなら他社では診断できない範囲まで細かな診断結果を提供可能です。
※X-Force®手法の実施は、他社ツール中心手法による診断の翌年。システムの変更が無い場合の診断結果比較になります。

金融企業A社様
金融企業A社様 他社ツールとの診断結果比較
他社ツール中心手法では危険度:低1件のみであったのに対し、X-Force®手法はより細かな診断で新たな脆弱性を発見。
金融企業B社様
金融企業B社様 他社ツールとの診断結果比較
他社ツール中心手法では危険度:低2件であったのに対し、X-Force®手法により危険度:高6件を含む脆弱性13件を発見。

脆弱性診断内容

診断範囲

PSCが提供するAppScanの診断範囲は近年脅威とされている脆弱性攻撃に対応しております。
他社では診断できない範囲まで細かな診断結果をご提供させていただき、改善のご提案までトータルでサポートします。

脆弱性診断レポートのイメージ図

診断結果のレポートは、お客様に合わせて詳細な項目まで洗い出した結果をまとめております。
詳細な結果のため数百ページにも及ぶ枚数になってしまうこともございますが、ページの冒頭で総合的な評価が一目でご確認頂けます。

レポートサンプルのダウンロードはこちら

レポート項目

脆弱性診断レポート診断結果図

診断結果の評価

最初にどの程度のセキュリティ度なのかを検出された脆弱性の数によって、5段階で評価します。

発見した脆弱性の概要図

発見した脆弱性の概要

全体を把握していただくために、まず発見した脆弱性の概要が掲載されます。
概要で掲載される項目は、以下になります。

  • 見つかった問題のタイプ
  • 影響を受けるURL
  • 推奨される修正
  • セキュリティーリスク
発見した脆弱性の詳細図

各リスクごとの詳細説明

発見した脆弱性と該当箇所を詳細に掲載されます。
詳細説明される項目は、以下になります。

  • 重要度
  • URL
  • パラメータ
  • リスク
  • 修正
  • 要求と応答ログ及び問題箇所

診断範囲

PSCが提供するAppScanの診断範囲は近年脅威とされている脆弱性攻撃に対応しております。
他社では診断できない範囲まで細かな診断結果をご提供させていただき、改善のご提案までトータルでサポートします。

OS

  • Windows
  • UNIX(Linux)

データーベースのタイプ

  • DB2,Oracle,MS SQL,MySQL
  • MS Access,他

アプリケーションサーバ

  • Apache AXIS,ASP.NET,ColdFusion
  • Jrun,Oracle,PHP,Sun ONE,Tomcat
  • Weblogic,WebSphere,他

WEBサーバ

  • IIS,Apache,IBM HTTP サーバー
  • Lotus Domino,AnalogX SimpleServer
  • Jakarta,Netscape,Resin,Savant
  • Sun Cobalt,SunJava,Sun ONE
  • Visnetic Web サイト,Weblogic,Zeus,他

※googleAppsは不可

サードパーティ・コンポーネント

  • MyBB,PHP 製品,WordPress
  • PostNuke,Coppermine Photo Gallery
  • RunCms,TikiWiki,WebSPELL,cPanel
  • Invision Power Board,MusicBox
  • Simplog,MKPortal,Phorum,vBulletin

アプリケーションサーバ

  • Apache AXIS,ASP.NET,ColdFusion
  • Jrun,Oracle,PHP,Sun ONE,Tomcat
  • Weblogic,WebSphere,他

診断できる脆弱性の種類

  • ブルート・フォース
  • 不適切な認証
  • 脆弱パスワード・リカバリー検証
  • 資格情報/セッション予測
  • 不適切な許可
  • 不適切なセッション有効期限
  • セッション固定
  • コンテンツ・スプーフィング
  • クロスサイト・スクリプティング
  • バッファー・オーバーフロー
  • 書式文字列攻撃
  • LDAP 注入
  • OS コマンド実行
  • SQL 注入
  • SSI 注入
  • 誤ったサーバー構成
  • アプリケーション・プライバシー・テスト
  • アプリケーション品質テスト
  • ユーザー定義テスト
  • URL リダイレクターの悪用
  • リモート・ファイル・インクルード
  • クロスサイト・リクエスト・フォージェリー
  • HTTP レスポンス分割
  • NULL バイト・インジェクション
  • SOAP 配列の悪用
  • XML 属性ブローアップ
  • XML 外部エンティティー
  • XML エンティティーの拡張
  • 安全でない索引付け
  • 悪質なコンテンツ
  • XPath 注入
  • など
  • ディレクトリー索引付け
  • 情報漏えい
  • パス・トラバーサル
  • 予測可能なリソースの位置
  • 機能の悪用
  • サービス妨害
  • 自動化の停止が不適切
  • 不適切なプロセス検証整数オーバーフロー
  • 不適切な入力処理
  • メール・コマンド注入
  • XML 注入
  • 不適切な出力処理
  • 不十分なトランスポート層保護
  • 不適切なファイル・システム権限
  • 誤ったアプリケーション構成

クラウド型AppScanとは?

Webアプリケーションソフトが内包するスクリプティングといったWebアプリケーションへの攻撃リスクに対し、
セキュリティホールが存在しないかを自動診断します。
オンプレ型のAppScanに比べ、クラウド型AppScanは診断に必要な手間もコストも削減可能です。

クラウド型AppScanの仕組み図

料金

脆弱性診断の料金と合わせて出来るオプションの料金をご紹介します。

料金の詳細へ

サービス導入の流れ

お申し込み頂いてからレポートを提出するまでの流れを紹介します。

サービス導入の詳細へ

実績

脆弱性診断の導入実績を実施年月と検査対象物を元に紹介します。

実績の詳細へ

お申し込み・お問い合わせはこちら

03-5408-5155(代表)

「脆弱性診断の件で」とお伝え下さい。