Webアプリケーション脆弱性診断サービス「Webアタックテスト」
近年のWebサイト改ざんや情報漏えい等の事件は、独自開発したWebアプリケーションの脆弱性を狙った攻撃によるものが増えています。これには、まずWebアプリケーションに潜む脆弱性の有無を確認し、必要な対策を講じることが大切です。
「Webアタックテスト」は、Webサーバにて動作するアプリケーションに対し、脆弱性検査ツール「WebInspect(注1)」を用いて検査し、検出された問題点と対策方法についてのレポートをご提供いたします。
こんな企業様におすすめ!
- サイト上のフォームにて通信販売、ユーザ登録、受発注、求人、懸賞応募等を行っている
- サイト上にてクレジットカード決済(ネット通販、チケット販売など)を行っている
Webアタックテストの位置づけ
PCIDSS(Payment Card Industry Data Security Standard)をご存知ですか?
PCIDSSは、クレジットカード情報や取引情報の安全な管理を目的に、国際カードブランドにより策定されたセキュリティ基準で、クレジット情報を取り扱う全ての加盟店・決済代行事業者等に「PCIDSS」に準拠することが求めています。「Webアプリケーションファイアウォール(WAF)」の導入や、「暗号化通信」、「情報セキュリティポリシーの策定」などと並んで「セキュリティシステムの定期的なテスト」が求められています。
(注1)WebInspect:ヒューレット・パッカード社提供のアプリケーション脆弱性診断ツール
サービス内容
- 脆弱性検査ツール「WebInspect」を使用したWebアプリケーション脆弱性診断テストを実施
- ツールによるレポートと専門家のコメントをつけた報告書を提出
- 検出された問題点と対策方法をご提供
特長
- Webサイトに潜む脆弱性を検査
公開Webサーバにて動作する独自開発のWebアプリケーションを不正アクセス、情報漏えい、データ改ざんなどの攻撃から守るため、リモートによる脆弱性診断を実施。 - 問題点の検出と対策方法をご提供
検査結果に専門家のコメントを加えたレポートを作成し、検出された問題点と対策方法をご提供。 - 手動検査と比較して高速に検査が可能
(手動:1~2画面/日→当検査ツール:10画面/日程度が可能)
機能
約4000もの診断項目から検知したWebアプリケーションのセキュリティレベルを4段階で表示し、検出された問題点とその対策方法をご提供いたします。
【発見可能な脆弱性】
- SQLインジェクション
Webサイトのセキュリティの不備により、データベースに本来想定しない動作命令を送り込まれ、実行されうる脆弱性。データベース上の情報を盗み出される恐れがある。 - OSコマンドインジェクション
Webサイトのセキュリティの不備により、本来想定しない動作命令を送り込まれ、サーバ上で任意の命令を実行されうる脆弱性。 - クロスサイトスクリプティング
Webサイトにおいて、利用者から送られてきたパラメータの扱いに問題があるために、悪意のあるスクリプトが実行されうる問題点。Webサイト利用者に被害が発生するケースが多い。 - その他(Webアプリの既知の脆弱性)
診断までの流れ
サービス概要図
報告書サンプル
カタログ
PDF Webアプリケーション脆弱性診断サービス「Webアタックテスト」 [419KB]
関連情報
|
【製品&サービス】 |