1. TOP
  2. SECURITY SURVEY
  3. サービス概要
SECURITY SURVEY

SERVICE SECURITY SURVEY

予めリスクを診断・把握する事で、
社内外からの侵入そして改ざん・情報漏えい等の
インシデント被害を未然に防ぐ為の対策を。

診断サービスの解説

<ニーズに合わせた 3つの診断プラン>

QUICK

※ご注文後、弊社にて診断ページ数を調査致します。調査結果とご依頼想定の診断ページ数が大幅に異なる場合は、プラン変更または、ページ数の調整をご相談させていただきます。

※直接攻撃を受ける危険性のある脆弱性(当社判定レベル「高」「中」が対象)

STANDARD

※対応可能言語・サポート内容について詳細はお問合せください。

※30日間サポートは初回診断からのみとなります。

PROFESSIONAL

※ホワイトハッカーの資格についてはお問合せください。

<プラン比較>

プラン以外のカスタムプランも
柔軟に対応可能ですので
お気軽にお問合せください。

<プラン比較>

< >

プラン以外のカスタムプランも
柔軟に対応可能ですので
お気軽にお問合せください。

Vulnerability EXplorer

Vex

Vex

日本国内市場シェアNo.1の
Webアプリケーション型
セキュリティ診断ツール

  • 高いシナリオの再現能力
  • 視覚的にも分かりやすいシナリオマップ
  • 日本語固有の脆弱性にも対応
  • 新しい脆弱性への緊急対応

<Vexが選ばれる理由>

導入費用の削減

すでにクラウド上にある、PSC のサービスを利用することで、無駄なコストをかける必要がありません。

導入スピードが早い

技術者が対応窓口からレポーティングまで一気通貫で行うことで、迅速な対応と言う時間的なコスト削減にも繋がります。

導入・運用の手間なし

クラウドのハードウェアといったサーバの根幹となる部分は、クラウド事業者の責任範疇となるため、利用者としては運用コストを考える必要がありません。

REPORT

レポート

マクロからミクロまで
総合レポート

診断結果のレポートは、お客様に合わせて詳細な項目まで洗い出した結果をまとめております。ページの冒頭で総合的な評価が一目でご確認頂き、各論は百数十ページにも及ぶ各論詳細な資料にてレポートさせて頂きます。

  • 1800個以上の診断項目
  • 結果だけでなく対応方法も記載

 

<レポート項目>

診断結果の評価

最初にどの程度のセキュリティ強度なのかを検出された脆弱性の数によって、5段階で評価します。

・診断結果は「AAA」~「C」まで五段階でランク分け
・全体評価(サマリー)とリスク抽出部分について記載

発見した脆弱性の概要

全体を把握していただくために、まず発見した脆弱性の概要が掲載されます。概要で掲載される項目は、以下となります。

・見つかった問題のタイプ
・影響を受けるURL
・推奨される修正方法
・セキュリティリスク

各リスクごとの詳細説明

発見した脆弱性と該当箇所を詳細に掲載します。詳細説明される項目は、以下となります。

・重要度
・URL
・パラメータ
・リスク
・修正・要求と応答ログ及び問題箇所

<診断対象項目>

SURVEY TARGET

VMware

WebやApplicationの他
NetworkやServer等、
広範な診断対象範囲。

SQLインジェクション
OSコマンドインジェクション
リモートコード実行
オープンリダイレクト
HTTPヘッダインジェクション
SSIインジェクション
XPathインジェクション
LDAPインジェクション

XML外部実体参照
安全でないデシリアライゼーション
ディオレクトトラバーサル
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
平文通信
セッションフィクセーション
セッション管理不備

過度な情報漏洩
不適切なエラー処理
サービス運用妨害
セキュリティ設定の不備
ファイル及びディレクトリの漏洩
脆弱性を含む製品の使用
不適切なアクセス制御
NoSQLインジェクション

<診断対象の脆弱性>

RISK SUBJECT

レポート

最新の脅威も
定期更新によりカバー

Vexは約3ヵ月に1度、定期的に新しい機能追加や検査シグネチャの追加/更新。さらに、危険度の高い新しい脆弱性の報告があった場合、発表後数日以内に緊急リリースにて対応しております。

・ブルート・フォース
・不適切な認証
・脆弱パスワード・リカバリー検証
・資格情報 / セッション予測
・不適切な許可
・不適切なセッション有効期限
・セッション固定
・コンテンツ・スプーフィング
・クロスサイト・スクリプティング
・バッファー・オーバーフロー
・書式文字列攻撃
・LDAP 注入
・OSコマンド実行
・SQL注入
・SSI注入

・アプリケーション・プライバシー・テスト
・アプリケーション品質テスト
・ユーザー定義テスト
・URLリダイレクターの悪用
・リモート・ファイル・インクルード
・クロスサイト・リクエスト・フォージェリー
・HTTPレスポンス分割
・NULLバイト・インジェクション
・SOAP配列の悪用
・XML属性ブローアップ
・XML外部エンティティー
・XMLエンティティーの拡張
・安全でない索引付け
・悪質なコンテンツ
・XPath注入

SERUCIRTY SURVEY