Webアプリケーション脆弱性診断
サービスについての
お問い合わせはこちら
お問い合わせはこちら
こんなお悩みありませんか?
お悩み①
セキュリティに不安はあるが、
どうチェックすれば良いか
わからない
どうチェックすれば良いか
わからない
お悩み②
脆弱性診断後に、
どう対策すれば良いか
わからない
どう対策すれば良いか
わからない
お悩み③
他社でセキュリティ診断の
見積を取ったが、高かった
見積を取ったが、高かった
コウェルの脆弱性診断なら
Point 01
クラウド環境からソフトウェアの導入・設定など行うため、運用のコストや準備の手間を考える必要無く、セキュリティ診断が可能です。
Point 02
専任セキュリティエンジニアが、診断結果を分析し、対策方法をご提案いたします。
Point 03
沢山の企業様にご利用いただけるよう、リーズナブルなプランをご用意しております。
脆弱性に対する改修も提案いたします
レポートに改修費用の概算を記載し即時対応をご支援いたします
動的アプリケーション脆弱性診断
動的アプリケーション脆弱性診断サービスは、
セキュリティスキャンツール(OWASP ZAP)を使用した、Webアプリケーション/Web APIの脆弱性診断(※DAST)及びそのレポートをご提供するサービスとなります。
お客様のニーズに合わせ3つのプランをご提供致します。
※DAST(Dynamic Application Security Testing)
アプリケーションに対する自動化された攻撃をシミュレーションし、悪意のある攻撃者の振る舞いを模倣します。これは想定外の結果を発見し、それが攻撃者によってアプリケーション侵害に利用されることを未然に防止することを目的としています。DASTツールにはアプリケーションやソースコードに関する内部情報が存在しないため、外部のハッカーと同じように、アプリケーションに関する知識や情報が制限された状態で攻撃を行います。外部の視点で脆弱なアプリケーションを調査する目的で使用されます。
脆弱性診断で検出可能なセキュリティリスク
| ●クロス・サイト・スクリプティング | ●脆弱なJavaScriptライブラリの使用 |
| ●SQLインジェクション | ●Cookie のセキュアな設定不備 |
| ●OSコマンドインジェクション | ●Cookie ポイズニング |
| ●外部リダイレクト | ●クリックジャッキング対策の不備 |
| ●パス・トラバーサル | ●OpenSSL ハートブリード脆弱性 |
3つの料金プラン
ソフトウェア・コンポジション解析との同時申し込みも可能です。
OWASP TOP10に準拠した診断の実施
SPA対応
診断報告書のご提供
OWASP TOP10に準拠した診断の実施
SPA対応
診断結果を分析、解決策を明記したプ ロフェッショナルレポートのご提供
情報処理安全確保支援士による診断実施
診断アプリケーションの規模/特性に基づく個別カスタム診断
※シンプル/エントリーの調査対象ページ数(URL数)の上限は100となります。超過する場合はご相談ください。
※プロフェッショナルレポートは診断実施後10営業日以内にご提供します。シンプルプランの場合は診断結果を診断後5営業日以内にご提供します。
※プロフェッショナルレポートは検出された脆弱性のうち、危険度高・中に該当する、危険度の高い上位20点までを対象として解決策をレポートします。
※対象ページについて、Swaggerファイルをご提供いただけない場合は、ツールによる自動追尾で補足できる範囲での調査・診断となります。
ご提供レポートについて
プラン比較
OWASP TOP 10 適用範囲
OWASP TOP 10 とは
ソフトウェアのセキュリティを向上させることを専門とした
非営利団体 OWASP が提供する、Webアプリケーション・セキュリティに関する最も重大な10のリスクについてのランキングと修正のガイダンスです。
2003年から2~3年ごとに、アプリケーション・セキュリティ市場の進歩と変化のスピードに合わせて更新され、最新版は2021年に発表されました。
多くの組織が、Webアプリケーションにおけるこれらの既知のリスクの存在を最小限に抑えることを目的として、Webアプリケーションの開発スタンダードとしてセキュリティ・プラクティスとして組み込んでいます。
非営利団体 OWASP が提供する、Webアプリケーション・セキュリティに関する最も重大な10のリスクについてのランキングと修正のガイダンスです。
2003年から2~3年ごとに、アプリケーション・セキュリティ市場の進歩と変化のスピードに合わせて更新され、最新版は2021年に発表されました。
多くの組織が、Webアプリケーションにおけるこれらの既知のリスクの存在を最小限に抑えることを目的として、Webアプリケーションの開発スタンダードとしてセキュリティ・プラクティスとして組み込んでいます。
ソフトウェア・コンポジション解析
ソフトウェア・コンポジション解析サービスは、セキュリティスキャンツールを使用した、オープンソースとその依存関係における脆弱性検出及びそのレポートをご提供するサービスとなります。
お客様より提供頂いたソースコードに対してセキュリティスキャンを実施、ソースコードが利用しているオープンソースの脆弱性有無を調査し、お客様にレポートを行います。また、各言語のパッケージ管理ソフトでダウンロードされたオープンソースについて脆弱性の調査を実施します。
※SCA (Software Composition Analysis)
開発チームがプロジェクトに持ち込まれたオープンソースコンポーネントをすばやく追跡して分析するアプリケーションセキュリティ手法です。
料金プラン
動的アプリケーション脆弱性診断との同時申し込みも可能です。
ご利用条件
■ソースコードは100MBまでを標準料金の範囲内とさせて頂きます。このデータ量には外部パッケージは含みません
■ソースコードの授受については都度相談とさせて頂きます。特段の指定がない場合は当社指定のGitに対してソースコードのアップロードをお願い致します。
■ご提供いただいたソースコード一式毎にレポートを提供致します。
■本サービスで対応可能な言語とパッケージ管理ツール、必要ファイル/情報の組み合わせは以下になります。
| 言語 | パッケージ管理ツール | 提供ファイル/必要な情報 |
| PHP | Composer | composer.lock |
|
Javascript |
Npm | package-lock.json |
| Yarn | yarn.lock | |
| Ruby | Gem | gemfile.lock |
|
Java |
Maven | pom.xml
mvn dependency:list のコマンド結果 |
| Gradle | build.gradle
gradle dependencies のコマンド結果 |
|
| Python | Pip | requirements.txt
pip list / pip3 listのコマンド結果 |
※上記は当社にて脆弱性診断の稼働が確認できている言語とパッケージマネージャの組み合わせとなります。
※上記以外の言語及びパッケージマネージャーの組み合わせについては別途ご相談ください。
WordPress脆弱性診断
WordPress脆弱性診断サービスは、あなたのWordPressサイトを徹底的に調査し、潜在的なセキュリティリスクを特定します。
Webページの更新作業以外に不安がある方や、脆弱性に関する最新のニュースに敏感な方に最適なサービスです。
特徴
| 01 | WordPress本体の脆弱性検知 |
最新の技術を使って、WordPress本体の潜在的なセキュリティリスクを見逃しません
| 03 | 低価格 |
ベトナムオフショアリソースを活用して、他社よりもコストを抑えた価格で高品質なサービスを提供します
| 02 | プラグインとテーマの脆弱性検知 |
使用されているプラグインやテーマのバージョンが脆弱かどうかをチェックし、安全な環境を提供します
| 04 | 継続的なバージョン保守体制 |
脆弱性診断後も継続的な保守サービスで、常に最新の状態を保ちます
プランと料金
サービス費用
20万円~
関連サービス
RPA導入支援サービス
時間のかかる普段の業務をRPAで自動化
業務効率化と生産性向上を実現します。
業務効率化と生産性向上を実現します。
SharePoint開発・移行
SharePointを活用した業務体制の開発や移行を、オフショア開発による最適コストと安心の品質でお届けします。
エンジニア不足でお悩みの企業様は
お気軽にご相談ください
お気軽にご相談ください
不明点について
相談がしたい
相談がしたい
コウェルのソリューション
がわかる
がわかる
Copyright © 2022 CO-WELL Co., LTD. All rights reserved.