Webアプリケーション脆弱性検査サービス
Webアプリケーション脆弱性検査(脆弱性診断とも言います)とは、Webアプリケーションに潜む脆弱性を洗い出し、報告することです。HASHコンサルティングの脆弱性検査は、下記のような様々な検査手法を使い分け、貴社サイトに最適な方法によりWebアプリケーションの脆弱性を報告致します。
- リモート診断
- ソースコード診断
- 設計レビュー
- ウェブ健康診断
リモート診断(スタンダードプラン)
リモート診断とは、Webアプリケーションを操作しながら脆弱性を発見する手法のことです。別名「ブラックボックステスト」とも呼ばれます。Webアプリケーションの脆弱性診断としては、もっとも基本的的で、応用範囲の広い方法です。
HASHコンサルティングのリモート診断(スタンダードプラン)の特長は以下の通りです。
- 診断による影響を最小化した安全な診断
- 最新の攻撃手法に対応
- 影響に対する適切な判断
- 効果的な対策方法の指摘
診断項目はこちらをご覧下さい。診断費用は下表の通りです。
| 項目 | 費用(税抜き) |
| 基本料金(5ページまで) | 250,000円 |
| 追加ページ単価 | 20,000円 |
| 報告会オプション(首都圏内) | 50,000円 |
| ネットワーク脆弱性診断(5IP) | 100,000円 |
ソースコード診断
ソースコード診断とは、ソースコードを調査することにより脆弱性を洗い出す手法です。リモート診断では探しにくい隠れた脆弱性を検出することが出来る一方、大規模なソースコードを調査するには時間が掛かるという欠点もあります。
HASHコンサルティングのソースコード診断は、リモート診断や設計レビューと組み合わせることにより、効率的なソースコード診断を実施します。
ソースコード診断は、通常抜き取り検査となります。
設計レビュー
設計書の精査や設計ご担当者へのインタビューにより、Webアプリケーションの設計に内在する問題を指摘します。弊社の経験上、Webサイトの場合、設計書が完備していない場合も多いため、設計担当者からの聞き取りから有効な手段である場合が多いようです。
ウェブ健康診断
ウェブ健康診断とは、(財)地方自治情報センター自治体セキュリティ支援室が、地方公共団体向けにWebアプリケーションの簡易診断を実施する事業であり、検査仕様が公開されています。弊社代表の徳丸浩は、技術アドバイザーとして同仕様策定に協力しています。
HASHコンサルティング株式会社は、ウェブ健康診断仕様によるWebアプリケーション簡易診断を民間企業その他団体向けに提供しています。
一般的には、Webアプリケーション簡易診断というと2~3項目(SQLインジェクションとクロスサイトスクリプティングのみ、など)の診断が多いようですが、ウェブ健康診断仕様には13項目の診断項目が明確に定義されており、よりカバー範囲の広い診断を提供します。診断項目を以下に引用します。
ウェブ健康診断仕様によるWebアプリケーション脆弱性検査は、1サイトあたり15万円(税抜き)です。詳細はお問い合わせ下さい。