• ホーム >
  • サービス >
  • Webサイト脆弱性診断サービス

Webサイト脆弱性診断サービス

高まる情報セキュリティへの対応要求 経営層の意識が企業を危機から守る

昨今、不正アクセス、サイトの改ざん、個人情報漏えい事故のニュースを頻繁に目にするようになりました。 ほんの些細なセキュリティホールにより、一瞬にして、企業の信頼を失ってしまう事態に陥る事もあります。Webサイトの脆弱性というセキュリティ上の問題点をいち早く検知し、適切な対策をとり、常に安全性の高い強固なサイトを保ち続けることが、結果的にコストを抑えることにつながり、企業としての信頼を保つことになります。

ネットワーク攻撃と脆弱性

ネットワーク攻撃と脆弱性

インターネット経由の攻撃

  • インターネットを経由して、Webサーバ等に不正にアクセスおよび攻撃を行うことにより、サーバの停止、情報の破壊、情報の漏えい、 サーバを経由した情報の抜き取りなどを行うことが可能です
  • インターネット経由の攻撃は、色々な原因により可能となります
以下のような原因があります
  • Webアプリケーションの作り
  • HTTPサーバの設定や不具合
  • OSの設定や不具合
  • ファイアーウオールの設定
  • 暗号化されていないサービスの存在(ftpなど)
  • 予想可能なパスワード
  • セッション管理/処理の不備
  • 攻撃を可能とする原因を脆弱性と呼びます
危険度の低い脆弱性が、重大な攻撃につながることもあります

例えば危険度の低い脆弱性が以下のように使われます
危険度の低い「OSやHTTPサーバのバージョンを
 確認可能な脆弱性」がある
公開されている脆弱性情報で、該当するバージョンの
 脆弱性を調べる
その脆弱性を突く攻撃を行う

脆弱性診断とは

脆弱性診断は攻撃者と同じ立場で、Webサーバに存在する脆弱性を 調査し、報告することを示します

  • 診断者はインターネット経由で対象のWebサーバにアクセスします
  • 診断の内容
診断内容
  • 外部からアクセス可能なポートやサービス
  • OS、Webサーバのバージョンによる脆弱性
  • Webサーバの設定による脆弱性
    (ディレクトリブラウジングなど)
  • Webアプリケーションの振る舞いに関する脆弱性
    (SQLインジェクション、クロスサイトスクリプトなど)
  • SSLを使用したサイトの証明書の整合性、暗号強度の確認
診断方法
  • インターネット経由で、弊社診断端末によりリモートにて実施
  • 弊社側のIPアドレスは固定IPアドレスを利用
  • ツールによる診断+手動診断による精度向上
報告書を元に対策を行って頂くことで、より安全なサイトの運営が 可能になります

脆弱性診断サービス内容

ネットワークサーバ診断

ネットワークサーバに対する脆弱性診断は、リモートによる診断が実施可能な外部公開アドレスを対象と いたします

Webアプリケーション診断

Webアプリケーションに対する脆弱性診断は、リモートによる診断が実施可能な外部公開URLおよび その配下のコンテンツを対象といたします

脆弱性診断実施時期について

脆弱性によるセキュリティ事故を未然に防ぐため、以下のタイミングでの診断実施をお勧めします

  • 現状のセキュリティリスクを把握するために随時実施
  • 開発中サイトのリリース前、サイトの改修やリプレイス、アップデートの際に実施
  • システム運用後の監査を目的として定期的に実施 (年1回など)

脆弱性診断実施時期について

脆弱性診断実施の流れ

脆弱性診断実施の流れ

Webサイト脆弱性診断のご相談・お問い合わせにつきましては、下記までお願いいたします

[お問い合わせ先]

SBIトレードウィンテック株式会社
〒162-0845 東京都新宿区市谷本村町1-1 住友市ヶ谷ビル14階  TEL:03-5206-3129
Mail: wsvs@tradewintech.co.jp

このページの先頭に戻る