セキュリティリスクチェック

TOP
サービス紹介
セキュリティリスクチェック

脆弱性診断とは？

脆弱性とは、コンピュータのOS やアプリケーションの欠陥の事で、
言わば“バケツに空いた小さな亀裂”のようなもので、いわゆるセキュリティホールと呼ばれています。
脆弱性診断とは、サーバなど保護すべき対象にリスク（セキュリティホール）が無いかを診断・発見・
検出する事です。予めリスクを知る事で、社内外からの侵入そして改ざん・情報漏えい等の
インシデント被害を未然に防ぐ為の対策を講じる事へ繋がります。

脆弱性診断サービス動画

脆弱性診断プラン

お手軽 Quick クイックプラン

18万円
スピード重視で
最短3日間
- 重要事項に絞った診断・レポート
- 高機能診断ツールAppScanを使用
- OWASPが発表しているセキュリティ脅威TOP10に対応した診断
このプランを申し込む
- ※ご注文後、こちらでページ数調査を実施いたします。ご依頼想定ページ数が依頼数と大幅に異なる場合はプランの変更もしくはページ数の調整をご相談させていただきます
- ※直接攻撃を受ける危険性を持った脆弱性（当社判定レベル「高」「中」）が対象
安心 Standard スタンダードプラン

30万円～
サポート&レポート
充実
- 脅威度判定「高」「中」だけでなく「低」「情報」レベルについても全て診断且つレポート
- 外国語でのレポート対応可
- 30日間サポート+1回の再診断
このプランを申し込む
- ※対応可能言語・サポート内容について詳細はお問い合お問い合わせください
- ※30日間サポートは初回診断からのみとなります。
高次元 Professional プロフェッショナルプラン

リニューアル中
※2023年1月再スタート予定
ホワイトハッカーの
精密診断
- 診断サイト特性に応じた個別診断
- 自動診断+ホワイトハッカーによるシナリオ診断
- 対現リスクに対する改善策+恒久的な解決策の提案
リニューアル中
- ※ホワイトハッカーの資格についてはお問い合わせください

プラン内容比較

	クイックプラン	スタンダードプラン	プロフェッショナルプラン
重要事項に絞った診断・レポート
100ページ以上のWebサイト ※100ページ以上の場合は追加料金が発生します
診断後サポート及び再診断
診断レポート提出
日・英・中以外の国の言語対応
初回診断後の30日以内の再診断
複数の攻撃シナリオから手動診断
サイトの性質に合わせた診断

診断ツール

日本初のクラウド型
AppScan。

バックグラウンドは世界有数のセキュリティ研究開発機関
「X-Force^®」の技術を採用。

セキュリティマネジメントとは、単なる監視サービスではありません。
セキュリティ強化は機械を入れたら終わりではなく、管理者による日々のログの整理など
チューニングが重要になってきます。
PSC では 24 時間 365 日で提供される監視体制、ログ整理の為の月次レポート、
推奨される対応策の提案などセキュリティコンサルティングをトータルで行います。
導入だけでなく運用が継続的なセキュリティ対策が重要です。

脆弱性診断MOVIE

AppScanとは？

クロスサイト・スクリプティングというようなWebアプリケーションソフトが内包する攻撃リスクに対し、セキュリティホール（脆弱性）が存在しないかを自動診断します。
オンプレ型のAppScanに比べ、クラウド型AppScanは診断に必要な手間もコストも削減可能です。

・Webアプリケーションの脆弱性やインフラ設定ミス、既知の問題を検知

導入費用の削減

すでにクラウド上にある、PSC のサービスを利用することで、無駄なコストをかける必要がありません。

導入スピードが早い

技術者が対応窓口からレポーティングまで一気通貫で行うことで、迅速な対応と言う時間的なコスト削減にも繋がります。

導入・運用の手間なし

クラウドのハードウェアといったサーバの根幹となる部分は、クラウド事業者の責任範疇となるため、利用者としては運用コストを考える必要がありません。

診断内容

ハッカー視点で1800個以上にも及ぶ細かな項目を診断し、脆弱性を洗い出します。脆弱性の指摘だけではなく、修正方法についても詳細な説明が記載されており、改善のご提案までトータルでサポートします。

■マクロからミクロまで総合レポート

診断結果のレポートは、お客様に合わせて詳細な項目まで洗い出した結果をまとめております。ページの冒頭で総合的な評価が一目でご確認頂き、各論は百数十ページにも及ぶ各論詳細な資料にてレポートさせて頂きます。

■レポート項目

1）診断結果の評価

最初にどの程度のセキュリティ強度なのかを検出された脆弱性の数によって、5段階で評価します。

・診断結果は「AAA」～「C」まで五段階でランク分け
・全体評価（サマリー）とリスク抽出部分について記載

2）発見した脆弱性の概要

全体を把握していただくために、まず発見した脆弱性の概要が掲載されます。概要で掲載される項目は、以下となります。

・見つかった問題のタイプ
・影響を受けるURL
・推奨される修正方法
・セキュリティーリスク

3）各リスクごとの詳細説明

発見した脆弱性と該当箇所を詳細に掲載します。
詳細説明される項目は、以下となります。

・重要度
・URL
・パラメータ
・リスク
・修正・要求と応答ログ及び問題箇所

レポートサンプル

診断対象範囲

AppScanは手動で行うと手間のかかる動的診断から静的ページの不要情報チェックまで、また、アプリケーションの脆弱性からコーディングの弱点までを自動チェックするなど、多角的な診断によりトータルで脆弱性診断を行います。

OS	Windows / UNIX(Linux)
データーベースのタイプ	DB2 / Oracle / MS SQL / MS Access / 他
サードパーティ・コンポーネント	MyBB / PHP製品 / WordPress / PostNuke / Coppermine Photo Gallery / RunCms / TikiWik / WebSPELL / cPanel / Invision Power Board / MusicBox / Simplog / MKPortal / Phorum / vBulletin / 他
Webサーバ	IIS / Apache / IBM HTTPサーバ / Lotus Domino / AnalogX / SimpleServer / Jakarta / Netscape / Resin / Savant / Sun Cobalt / SunJava / Sun ONE / Visnetic Webサイト / Weblogic / Zeus / 他
アプリケーションサーバ	Apache AXIS / ASP.NET / ColdFusion / Jrun / Oracle / PHP / Sun ONE / Tomcat / Weblogic / WebSphere / 他

診断できる脆弱性の種類

OWASPで定義されているWeb セキュリティの脅威対策はもちろん、新たな脅威についても定期的に診断項目を追加していきます。またアプリケーションだけではなく、OS、コーディングにかかわる脆弱性にも対応します。

・ブルート・フォース
・不適切な認証
・脆弱パスワード・リカバリー検証
・資格情報 / セッション予測
・不適切な許可
・不適切なセッション有効期限
・セッション固定
・コンテンツ・スプーフィング
・クロスサイト・スクリプティング
・バッファー・オーバーフロー
・書式文字列攻撃
・LDAP 注入
・OSコマンド実行
・SQL注入
・SSI注入

・アプリケーション・プライバシー・テスト
・アプリケーション品質テスト
・ユーザー定義テスト
・URLリダイレクターの悪用
・リモート・ファイル・インクルード
・クロスサイト・リクエスト・フォージェリー
・HTTPレスポンス分割
・NULLバイト・インジェクション
・SOAP配列の悪用
・XML属性ブローアップ
・XML外部エンティティー
・XMLエンティティーの拡張
・安全でない索引付け
・悪質なコンテンツ
・XPath注入

・ディレクトリー索引付け
・情報漏洩
・パス・トラバーサル
・予測可能なリソースの位置
・機能の悪用
・サービス妨害
・自動化の停止が不適切
・不適切なプロセス検証整数オーバーフロー
・不適切な入力処理
・メール・コマンド注入
・XML注入
・不適切な出力処理
・不十分なトランスポート層保護
・不適切なファイル・システム権限
・誤ったアプリケーション構成

導入の流れ

申し込みから実施までのフロー

	クイックプラン	スタンダードプラン	プロフェッショナルプラン
お申し込み

まずはお申込みフォームもしくはヒヤリングシートから、申込みをしていただきます。

プレスキャン

スキャンが正常に行えるか、また、対象サイトの実ページ数を把握するために、プレスキャンを行わさせていただきます。
※この時点では料金は発生いたしません。
※クイックプランではご契約後本診断の直前に実施します。

サイト構成の確認

サイト仕様を確認し、攻撃シナリオの立案をいたします。

ご契約

プレスキャンとサイト構成の確認の上、お見積り金額の提示をいたします。ご契約の際にその他オプションを追加することも可能です。

自動スキャン(脆弱性診断)

脆弱性診断を実施する日時を調整させていただき、本スキャン(脆弱性診断)を行います。実施は、通常営業日の月曜~金曜、
9:00 ～ 18:00 の間での実施となります。
※通常営業日以外での実施の場合は、別途ご相談ください。

自動脆弱性診断レポートの送付

まずは速報として、自動診断レポートをメールで送付いたします。
※クイックプランでは本診断結果レポートの提出となります。

攻撃シナリオの組み立てと手動診断の実施

立案した攻撃シナリオを診断項目にまとめ、手動診断を実施していきます。

手動脆弱性診断レポートの送付

手動診断レポートで問題個所がある場合は、速報として早めにメールでご連絡します。

修正期間

お客様の脆弱性へのご対応後に、再スキャンを行います。

再スキャン・再診断

お客様側で脆弱性の対応が完了後、脆弱性が解消されたかの確認のために再脆弱性診断を行います。

最終脆弱性診断レポートの送付

再診断結果をもとに、最終レポートを送付します。

取扱製品

信頼性の高いトップクラスの製品を中心に幅広くラインアップ。
お客様企業の多種多様なニーズ・ステイタス・規模に合わせて、あらゆる製品の中から構成・提案をさせて頂きます。

日本アイ・ビー・エム

IBM Guardium: IBM社のデータベースセキュリティの総合ソリューション及びデータベース脆弱性診断詳しくはこちら

Application Security on Cloud: IBMが提供するクラウド型の脆弱性診断サービス詳しくはこちら

Tenable Network Security

NESSUS Professional: ネットワーク脆弱性診断詳しくはこちら

Tenable io: 脆弱性管理ツール詳しくはこちら

ネットワールド（販社）

AppScan: Webアプリケーション脆弱性診断ツール詳しくはこちら

価格

診断範囲はサービス提供会社により異なりますが、PSC が提供する AppScan は静的ページの不要情報チェックから手動で行うと手間のかかる動的診断まで一式を含んだ価格設定となっております。

基本価格

クイックプラン: 18万円

スタンダードプラン: 30万円～

プロフェッショナルプラン: リニューアル中（※2023年1月再スタート予定）

金額はすべて税別となります。

オプション価格

監査用レポート監査に対応できる形式でレポート提出します。 ※レポートは、社内規定のフォーマットとなります。: 25万円

API診断支援API診断の支援を行います。: 70万円～

定期診断プラン指定された期間毎に脆弱性診断を行います。: 内容によって変動

ネットワーク診断: 24万円

オンサイト診断診断を実行するものを派遣します。派遣する曜日や時刻等によって料金は変動します。: 50万円～

報告会開催診断レポートを元に診断結果の報告会を行います。: 5万円

金額はすべて税別となります。
オプションは基本価格に上乗せとなります。

実績

大企業から中小企業まで、多種多様な業種業態の企業様に幅広くご利用頂き、多くのお客様に安心と満足をお届けし続けております。

診断実績（社数） 432社
診断実績（ページ） 18,015ページ
未然防止 11,400脅威
顧客満足度 99.9%

金融ポイントサービス(ネットワーク診断) 毎月定額診断: 金融系IT子会社

展示会サイト 毎月定額診断: 展示会会社

消費者向けサイト 毎月定額診断: 製造メーカー

職員向けポータルサイト 毎月定額診断: 電力系IT子会社

顧客Webサイト 2019年10月: 大手メーカー

顧客Webサイト 2019年9月: 大手情報システム会社

自社ポータルサイト 2019年9月: 大手メーカーシステム子会社

顧客Webサイト 2019年9月: 開発会社

顧客Webサイト 2019年9月: 開発会社

顧客Webサイト 2019年9月: 大手情報システム会社

自社消費者向けサイト 2019年8月、10月: オンラインバンク

消費者向けサイト 2019年8月: Web書籍関連会社

顧客Webサイト 2019年8月: Web制作

顧客Webサイト 2019年7月: 開発会社

顧客Webサイト 2019年7月: 開発会社

自社コミックサイト 2019年7月: Web書籍関連会社

顧客Webサイト 2019年6月: 開発会社

顧客Webサイト 2019年6月: 開発会社

学園内ポータルサイト 2019年6月: 学校

自社サービス 2019年6月: 開発会社

顧客Webサイト 2019年5月: 開発会社

顧客Webサイト 2019年4月: 金融系IT会社