脆弱性診断(セキュリティ診断)とは、お客様のコンピュータシステムやネットワーク、Webサイト、アプリケーションなどにセキュリティ上の弱点(脆弱性)がないかを調査し、実際に攻撃を受けた際の被害の可能性を検証・評価するものです。
システムの欠陥を放置すると、サイバー攻撃によって個人情報や機密情報が漏えいしたり、Webサイトが改ざんされたり、サービスが停止したりする可能性があります。定期的な脆弱性診断は、こうした被害を未然に防ぎ、ビジネスを安全に継続していくうえで欠かせません。
サイバー攻撃は日々多種多様かつ、高度化・巧妙化しており、対策をすり抜ける攻撃が増大していると言わざるを得ません。狙われた企業からは顧客情報や会社の重要な情報、資産が流出し、生産システムの停止に追い込まれたというニュースも記憶に新しいところ。まずは危機感を持つことからはじめましょう。
年々増加するセキュリティインシデントに対し、企業の担当者は常にサイバー攻撃を受ける可能性があるという危機意識を持ち、脆弱性診断により弱点を早期に発見・修正することで、サイバー攻撃のリスクを減少させることが可能です。想定していない脆弱性や設定ミス等を確認し対策することで、情報セキュリティ事故の発生リスクを低減させます。
デジタル庁の「政府情報システムにおける脆弱性診断導入ガイドライン」やIPA(独立行政法人情報処理推進機構)の「ECサイト構築・運用セキュリティガイドライン」など、重要な情報を取り扱うシステムにおいて定期的な脆弱性診断が要求されています。また、個人情報保護法の遵守や、ステークホルダーからの社会的信頼を得るための、最初の取り組みのひとつが、脆弱性診断なのです。
Webサイトの脆弱性は、利用者の個人情報や機密情報を危険にさらす可能性があります。脆弱性診断を行い、セキュリティ上の欠陥を特定し修正することで、Webサイト利用者のセキュリティリスクを低減。だれもが安心して利用できるWebサイト環境を提供し信頼を獲得することが、ビジネス成功への近道だと強く信じています。
自社だけでなく、取引先や関連会社を含めたサプライチェーン全体でセキュリティレベルを維持することが重要です。自社のシステムが攻撃の踏み台にされないよう、責任ある対策が求められます。
サイバー攻撃によるデータ漏洩やシステムのダウンタイムは、修復コストやビジネス機会の損失を引き起こします。定期的な脆弱性診断によりこれらのリスクを事前に回避し、ビジネスの継続性を保護することができます。
IFTの脆弱性診断は、
Webアプリケーションからそれを支えるプラットフォーム(サーバー、ネットワーク機器)、スマートフォンアプリまで、
お客様の事業環境全体を幅広くカバーします。
| Webアプリケーション・Webサイト |
|
|---|---|
| プラットフォーム・ネットワーク |
|
| クラウドサービス |
|
IFTの診断は、Webセキュリティの国際的な指標である「OWASP Top 10」に準拠しています。
世界標準の網羅的な項目で診断することで、システムのセキュリティレベルを客観的に評価し、潜在的なリスクを洗い出します。
| アクセス制御の不備 | 不適切な権限設定により、想定外のデータや機能にアクセスできてしまう |
|---|---|
| 暗号化の不備 | 機微情報を平文で送信・保存してしまうなど、暗号化が不十分 |
| インジェクション | SQLやOSコマンドに不正入力を与え、システム操作されるリスク |
| 安全でない設計 | 想定外の操作や権限昇格を許すアプリの仕様上の欠陥 |
| セキュリティ設定ミス | デフォルト設定のまま運用、不要機能の有効化などによる脆弱性 |
| 古いコンポーネント | 更新されていないライブラリやモジュールの利用 |
| 認証の不備 | 認証回避やセッション固定などによるなりすましリスク |
| 整合性不備 | 改ざん検知不備や署名なし更新によるリスク |
| ログ・監視不足 | 攻撃を検知できず被害を拡大させるリスク |
| SSRF | 内部システムへの不正リクエストを許してしまう状態 |
IFTでは、お客様の状況やフェーズに合わせ、最適な診断プランをご提案します。
初めて脆弱性診断を受けるお客様や、セキュリティに詳しいご担当者様がいない場合でも、
安心してご相談いただけるよう、一つひとつ丁寧にご説明します。
国内シェアNo.1の検査ツール『Vex』によるツールの網羅性に加え、専門家が手動で診断。ビジネスロジックなど、ツールだけでは見つけられない真のリスクを発見します。
「費用がネックで診断できない…」という課題を解決。お客様の状況に合わせて必要な項目だけを組み合わせ、無駄のないプランをご提案します。「他社の見積もりが高かった」という方もぜひご相談ください。
報告書を渡して終わりではなく、報告会(オプション)や無償の再診断まで、お客様のセキュリティレベル向上を最後までサポートします。
官公庁から大手企業まで。社会の基盤を支えるシステムで、IFTの脆弱性診断の実力が認められています。
従来の診断では対応できない脆弱性に対応するため、IFTの「プラットフォーム脆弱性診断」を実施。セキュリティ状況を定期的に把握し、最新の脆弱性に対応するだけでなく、再診断でリスク低減を確認し、重大なセキュリティインシデント防止に貢献しました。
社内基準(費用・品質・スケジュール)を満たす、自動と手動を組み合わせた「ハイブリッドWebアプリケーション脆弱性診断」を実施。柔軟なスケジュール対応と再診断でリスク低減を実現し、予算内で効率的かつ品質向上を実現しました。
システムリリース前の限られた時間の中で、従来の診断方法では間に合わない可能性があった脆弱性診断を、「クイックWebアプリケーション脆弱性診断」を用いて迅速かつ確実に実施し、期日通りに安全なシステムリリースを実現しました。
初めての脆弱性診断でも、現状を説明しただけで必要なサービスを提案いただき、安心してサービスを受けることができました。
弊社独自のセキュリティ基準に基づいてカスタマイズされた脆弱性診断サービスを提供していただきました。
診断後の再診断と対策状況の確認まで実施していただき、対策の有効性を検証することができました。
第三者視点による自社システムのセキュリティ対応診断によって、お客さまに安心いただける体制を構築できました。
検出された脆弱性への対策方法を具体的に提示いただき、迅速かつ確実に対応することができました。
| 対象 | Webサイト、Webアプリケーション全般 |
|---|---|
| 特徴 | 自動診断ツールを用い、高速で診断を行います。高精度かつハイスピードの自動診断ツールを導入することにより、短期間でシンプルな診断を実施します。 |
| 対象 | Webサイト、Webアプリケーション全般 |
|---|---|
| 特徴 | クイックWebアプリケーション診断に加え、経験を重ねた診断員による目視手動診断も追加で実施することでハイクオリティかつきめ細かい診断が可能です。 |
| 対象 | サーバー(OS、ミドルウェア)、ネットワーク機器、クラウド環境(AWS, Azureなど) |
|---|---|
| 特徴 | お使いのネットワーク機器やサーバに対して診断を行います。機器の設定不備や、不要なポートが空いていないかなど診断員がツールを利用して確認いたします。 |
| 対象 | iOS / Android スマートフォンアプリケーション |
|---|---|
| 特徴 | iOS/Androidのスマートフォンアプリケーション内にあるコード上の不備や、不正な通信が発生しないか、コンテンツ改ざんの危険性がないかなどの確認を行います。診断可能なソースコードによる静的診断を実施しています。 |
| 対象 | 単一のシステムだけでなく、複数のシステムを組み合わせたお客様の環境全体 |
|---|---|
| 特徴 | 専門家が攻撃者になりきってシステムに疑似的なサイバー攻撃を仕掛け、侵入が可能かどうかを試すテストです。これにより、実際の攻撃でどのような被害が発生しうるかを確認し、セキュリティ上の弱点や対策の不備を洗い出します。 |
| 対象 | 開発中のプログラムのソースコード |
|---|---|
| 特徴 | プログラムを実行せずにソースコードを直接解析し、セキュリティ上の脆弱性やバグなどを発見する手法です。開発の早い段階で問題を発見・修正、システムの品質向上やセキュリティリスクの低減につなげます。 |
「他社の見積もりが想定より高かった」「コストを理由に診断をためらっている」といった場合でも、ぜひ一度ご相談ください。
お客様の状況や診断対象の規模に応じて、最適なプランと無駄のないお見積もりをご提示します。
ご検討いただく上での目安として、基本的な料金体系をご紹介します。
クイックWebアプリ脆弱性診断 |
30万円(税込)~ Webサイトやサーバーを対象としたクイック診断プランの目安です。 |
|---|---|
ハイブリッドWebアプリケーション診断 |
ECサイト 100万円(税込)~ ECサイトや医療系サイトなど、より高いセキュリティレベルが求められるサイトを対象としたハイブリッド診断プランの目安です。 |
プラットフォーム診断 |
30万円(税込)~ ネットワーク機器からクラウド環境などを対象としたプラットフォーム診断の目安です。 |
その他の専門的な診断 |
個別お見積もり スマートフォンアプリの診断や、ペネトレーションテスト、ソースコード診断などは、診断の範囲や深さによって費用が大きく変動するため、個別お見積もりとなります。 |
診断対象の規模やプランによって異なりますが、5営業日ほどで報告書のご提出ができます。詳細なスケジュールは、お見積もりの際にご提示します。
はい、問題ありません。IFTでは、セキュリティに詳しくないご担当者様にもご理解いただけるよう、専門用語を避け、分かりやすい言葉でご説明することを心がけています。初めての方でも安心してご相談ください。
検出された脆弱性一件ごとに、危険度レベル、脆弱性の内容、再現手順、具体的な対策方法などを記載しています。「何を」「どのように」修正すればよいかが明確に分かるため、開発担当者様がすぐに対応に着手できます。
はい、ご安心ください。報告書の内容に関するご質問にはいつでもお答えします。また、オプションの「報告会」や、修正後の確認をおこなう「無償再診断」など、診断後もお客様のセキュリティ向上をしっかりとサポートします。