サイバーディフェンスのWebアプリケーション診断は こんな課題を抱える方に選ばれています
価値のある診断サービスを検討中ですか? サイバーディフェンスが選ばれる理由
- スキャンツールでのセキュリティ診断だけで本当に大丈夫...?
-
ツールでは定型的な脆弱性は発見できますが全ての脆弱性を発見することはできません。
サイバーディフェンスのセキュリティ診断は一流のエンジニアが手作業で実施するため、
極めて網羅性の高い診断が可能です。 - サイト上で個人情報を取り扱っているけどまだ脆弱性診断を受けたことがなくて...
-
脆弱性診断が初めてでもご安心ください。
オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。 - セキュリティ対策、しっかりやりたいけどコストが心配...
-
サイバーディフェンスのセキュリティ診断は診断対象の仕様およびお客様の
ビジネスロジックを完全に理解したうえで実施します。
お客様にとって最も重要な対策をご提案することで高い費用対効果を実現します。
Webアプリケーション診断の3つの特長
- 既知脆弱性から未知脆弱性まで徹底的に洗い出す
- サイバーディフェンスのWebアプリケーション診断は、最新の技術にも精通した一流のセキュリティエンジニアが、ツール診断では検出できない項目まで全て手作業で実施します。 また、1件の診断あたり必ず複数人のチームで取り組むため、丁寧かつ深く、網羅性の高い診断結果をお約束します。
- 実際に起こりうる脅威を総合的に評価
- 診断対象となるアプリケーションの仕様とお客様のビジネスロジックを理解したうえで本当の脅威となる脆弱性を評価します。 単体では些細な脆弱性だとしても、それらを組み合わせることで実行可能な攻撃方法を分析することでお客様が優先して対処すべき課題を明確にします。
- 豊富な実績と経験をもつスペシャリストによる診断
- 世界的なCTFでの優勝経験者や、「サイバーセキュリティに関する総務大臣奨励賞」の受賞者、数多くの未知脆弱性を発見してCVEを取得したエンジニアなど、サイバーディフェンスにはセキュリティの最前線で活躍する専門家が結集しています。 攻撃者と同等以上の知識とスキルを持つサイバーディフェンスが、お客様の抱えるセキュリティ上の問題を可視化し、課題解決をサポートします。
導入事例
- クックパッド株式会社様
-
サイバーディフェンス研究所はクックパッドのサービスを深く理解しており、また契約形態に関する柔軟な対応もあり、テスト対象の共有から範囲調整、テスト実施に至るまでのプロセスがスピーディーに進みます。
- 株式会社ミクシィ様
-
リアルな脅威を把握することは、現状のセキュリティ対策の評価と緊急性の高い問題点への対策のため、そしてそれ以上に、本質的にセキュリティを向上させるための戦略立案における非常に有効な情報として活用することができました。
- サイボウズ株式会社様
-
システム及びアプリケーションに存在する脆弱性そのものだけでなく、「何故これら脆弱性が存在するのか」という原因を徹底的に追及・検証し、そのフィードバックを現場のアプリケーション開発エンジニアと共有しました。
シーン別の費用例
- ケース1 B to C 向け ECサイト
- 対象URL数 ... 30URL
- 診断期間 ... 2〜4営業日
-
共通した診断項目
- 認証や認可に関する脆弱性
- 入出力処理に関する脆弱性
- セッション管理に関する脆弱性
- Webサーバーの設定に関する脆弱性
- 認証や認可に関する脆弱性
- 入出力処理に関する脆弱性
- セッション管理に関する脆弱性
- Webサーバーの設定に関する脆弱性
- お見積金額 ... 100万円
-
ケース2
事業者向け医療情報
管理システム - 対象URL数 ... 50URL
- 診断期間 ... 5営業日
-
共通した診断項目
- 認証や認可に関する脆弱性
- 入出力処理に関する脆弱性
- セッション管理に関する脆弱性
- Webサーバーの設定に関する脆弱性
- 入出力処理に関する脆弱性
- セッション管理に関する脆弱性
- Webサーバーの設定に関する脆弱性
- お見積金額 ... 300万円
上記の費用例はあくまで一例です。サイバーディフェンスでは診断対象となるアプリケーションの仕様、構成、規模などを伺ったうえで最適なお見積もりをご提案します。
予算や診断期間などのご要望にも対応しますのでお気軽にお問い合わせください。
どのようなケースでも、基本の診断内容は共通です。
Webアプリケーション診断について
詳しく知りたい方はこちら
お見積もり・お問い合わせ
ご利用の流れ
- お問い合わせ
- お電話、もしくはお問い合わせフォームからお気軽にお問い合わせください。
- 事前調査
- 診断要件をお伺いした後、弊社のセキュリティエンジニアが対象となるアプリケーションの構成を把握し 実施方法と必要な工数を算出します。
- ご契約
- お見積もりと診断内容をご確認のうえ、問題がなければご契約手続きを行います。
- 診断準備
- 診断を実施するに際し影響を受けるおそれのある全ての関係者様に対して事前に周知を行っていただき、 診断実施の社内共有をお願いしています。
- 診断実施
- 診断対象となるWebアプリケーションやWebサイトに対して、攻撃者の視点から手動で診断を行うことで ツールでは検出できないような潜在的な脆弱性を洗い出します。
- 報告会
- 発見された脆弱性の詳細と想定される脅威シナリオ、それらに対する推奨対策等をご報告します。
- 検収
- 請求書・検収書を発行します。また必要に応じて、検出された問題の改修確認を無償で行う再診断を 実施します。
- お問い合わせ
- 事前調査
- ご契約
- 診断準備
- 診断実施
- 報告会
- 検収
よくあるご質問
脆弱性診断は外部委託していますか?
- サイバーディフェンスの診断サービスは、準備段階から報告会に至るまで全て弊社のエンジニアが行なっています。
ツール主体のセキュリティ診断との違いはなんですか?
- ツールに依存したセキュリティ診断では定型的な脆弱性は発見可能ですが、誤検知や検証漏れも多く必ずしも効率的とは言えません。サイバーディフェンスのセキュリティ診断は、攻撃者の思考に基づいたエンジニアが試行錯誤しながら診断することで網羅的に脆弱性を洗い出すだけでなく、脆弱性を組み合わせることで発現する潜在脅威も明らかにします。
診断の準備にかけられるリソースがないのですが対応可能でしょうか?
- 極力お客様の負担にならないようなヒアリングシートをご用意しています。準備段階からスタッフが丁寧にサポートいたしますのでご安心ください。
問い合わせからすぐに診断は実施できますか?
- 入念な準備のため実施予定の1ヶ月ほど前にお問い合わせいただくのが理想ですが、状況によっては対応できることもございます。お気軽にお問い合わせください。
最新の攻撃手法にも対応していますか?
- サイバーディフェンスのエンジニアは日常的にCTF(ハッキングコンテスト)に参加し好成績を収めているほか、JVN(脆弱性データベース)への報告も多数ございます。高度化する技術に対して常にアップデートしているため、お客様にとって最も強固なセキュリティ支援が可能です。