製品・サービス情報

セキュアなWebサイトを運用するためには、定期的な脆弱性診断が欠かせません。 当社のクラウドWeb脆弱性診断サービスが、お客様のPCDAサイクル実践をサポートします。

WEB脆弱性診断が必要な理由

NSFOCUSのクラウドWeb脆弱性診断サービスは、SECaaS(Security as a Service)の一つで、インターネット側からリモートでWebアプリケーションの弱点を調査するサービスです。従来、高価な脆弱性診断ツールによって、専門技術者がオンサイト作業で行ってきたWebアプリケーションの脆弱性診断ですが、これをクラウドサービスとすることで、素早く、そして非常に安価にご提供する事が可能となった画期的なサービスです。 URLと実施日時をご指定いただくだけで、自動でWebサイトの脆弱性を診断いたします。ハードウェアやソフトウェアのインストール、ネットワークトポロジーの変更は一切不要です。 本サービスは、長年に渡る脆弱性検知とセキュリティーサービスの実践経験を基に、NSFOCUSが独自に開発したもので、日本市場でのパートナーである日本テクノ・ラボ株式会社がご提供致します。

診断までのステップ

Step1:お申込み
申し込みフォームの入力(お客様情報の登録、URL、実施日時)と、お支払い手続き(口座振り込み)をいただきます。
※ 申し込みいただきますと、当社担当よりお見積書をお送りいたします。
Step2:脆弱性診断
当社が発行する承認コードを、診断対象Webサイト下に配置いただきます。 ⇒ 実施日時に承認コードの確認後、自動スキャンが実施されます。
※ 実施日時の前日までにご準備をお願いいたします。
Step3:診断結果レポート
診断実施後、診断結果レポートを登録メールアドレス宛にお送りいたします。

料金

診断実施時間 10:00 – 17:00 17:00 – 21:00 時間外
当社営業日 ¥30,000 ¥40,000 ¥50,000
非営業日 ¥50,000 ¥60,000 ¥70,000
祝祭日 要ご相談 要ご相談 要ご相談

記載の価格は全て税抜きとなっております。

機能と利点

Web脆弱性の完全な検出
様々なWebアプリケーションの完全なセキュリティー検査を提供します(Ajax, FlashやJavaScript等のWeb2.0環境が含まれます)。このサービスは、OWASP Top10やWASCをサポートしています。
迅速で安定したスキャニング
インテリジェントWebページ・クローリング、動的リソース・スケジューリング、プロキシー・キャッシュ機構などの長年蓄積した技術の採用で、迅速かつ安定したスキャニングが可能です。
オールラウンドなチェック
検査は、Webアプリケーションのセキュリティー脆弱性から、サーバーシステムの脆弱性やコンフィグレーションの問題までもカバーするため、サーバー内の欠陥をオールラウンドに検出可能です。
16年に渡る脆弱性研究
長年に渡る脆弱性研究の経験を持つNSFOCUSセキュリティーチームに裏打ちされ、このサービスのナレッジベースには主流の基盤システムやアプリケーション・システムを含む18,000以上の脆弱性情報が含まれます。
コスト削減
ハードウェアやソフトウェアのインストールが要らず、インターネット側から自動で脆弱性スキャンが行われます。これにより、大幅にコストが削減できます。
ガートナー・マジック・クアドラントで評価を受けたソリューション

診断の対象

診断の対象および診断の対象外は以下の通りです。

診断の対象

お申し込みURLを起点とし、そのリンク先にあるWebページ(同一ドメイン内、より下部ディレクトリにあるものに限ります)から、下記(診断項目)に定める範囲

一般的な診断対象外の例

  • ログイン等、認証が必要なページ
  • 日本語ドメインのURL
  • 一部の携帯サイト等PCからインターネット経由でアクセスできない場合
  • 診断対象のサイトにアクセスするために特別な機器やソフトウェアを用いる場合
  • JavaやFlash等のクライアントアプリケーションと連携したページ
  • ファイルアップロード(multipart)等のリクエスト形式のページ
  • 画像ファイル、動画ファイル、PDF、Flash、圧縮ファイル等
  • パラメータのないWebアプリケーション
  • その他、起点となるURLからたどることができないページ、または、形式がHTML、JavaScript、スタイルシート以外であるページ

*その他の診断対象外については別途お問い合わせの上、ご相談下さい。

診断項目

アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指す アプリケーションセキュリティ検証標準「OWASP 2013版Top10」について、Webアプリケーション脆弱性項目を診断します。

OWASP 2013版Top10

  • A1:Injection(インジェクション)
  • A2:Broken Authentication and Session Management(認証とセッション管理の不備)
  • A3:Cross-Site Scripting(クロスサイトスクリプティング-XSS)
  • A4:Insecure Direct Object References(安全でないオブジェクト直接参照)
  • A5:Security Misconfiguration(セキュリティ設定のミス)
  • A6:Sensitive Data Exposure(機密データの露出)
  • A7:Missing Function Level Access Control(機能レベルアクセス制御の欠落)
  • A8:Cross-Site Request Forgery(クロスサイトリクエストフォージェリ-CSRF)
  • A9:Using Components with Known Vulnerabilities(既知の脆弱性を持つコンポーネントの使用)
  • A10:Unvalidated Redirects and Forwards(未検証のリダイレクトとフォワード)

脆弱性診断結果

脆弱性診断の結果は、PDFファイル形式にて下記の内容をレポート致します。

1.サマリー

1.1 Webサイト診断概要
  ― 診断対象
   ― 実施日時
   ― 総スキャンページ数
   ― 全体セキュリティ・スコア
   ― 各脆弱性総数(ハイ/ミディアム/ロー)

1.2 Web脆弱性
  ― CVSSスコア統計数(%)
  ― OWASP 2013 Top10統計数(%)
  ― 各リスクレベル数(ハイ/ミディアム/ロー%)
  ― 脆弱性タイプ統計
  ― Top10 URL脆弱性数(%)

2.Web脆弱性詳細

2.1 ハイリスク脆弱性(各項目について)
  ― 影響するURL
  ― 脆弱性タイプ
  ― 脆弱性詳細
  ― 脆弱性対策

2.2 ミディアムリスク脆弱性(各項目について)
  ― 影響するURL
  ― 脆弱性タイプ
  ― 脆弱性詳細
  ― 脆弱性対策

2.3 ローリスク脆弱性(各項目について)
  ― 影響するURL
  ― 脆弱性タイプ
  ― 脆弱性詳細
  ― 脆弱性対策

お申し込み・お問い合わせ

セキュアなWebサイトを運用するためには、定期的な脆弱性診断が欠かせません。 当社のクラウドWeb脆弱性診断サービスが、お客様のPCDAサイクル実践をサポートします。