このサービスは、次のようなお客様に適しています。
・ 外部公開サーバで個人情報を扱っている(例:採用サイト、等)
・ 外部公開サーバに決済機能がある(例:ECサイト、等)
・ 情報漏洩事故による訴訟リスクや、信頼度の低下を防ぎたいとお考えのお客様
このサービスは次のように構成されています。
 システム脆弱性検査サービス |
|
├┬A.Webアプリケーション脆弱性検査サービス(初回検査)
│└B.(1)侵入検査サービス (2)ネットワーク機器/ホスト脆弱性検査サービス
└──差分・定期検査サービス |
 |
A.Webアプリケーション脆弱性検査サービス(初回検査)
 |
|
WEBアプリケーションのソースコードを走査して、XSS(クロスサイトスクリプティング)、SQLインジェクションなど、サーバサイドプログラムの脆弱性を検査します。
アプリケーション解析支援用ツールによる解析、単なる機械的なアプローチではなく、セキュリティソフトウェア開発経験のあるエンジニアが最終的なコード脆弱性の検証を実施します。
この検査でタグやメタキャラクタの処理漏れ、セッション管理における脆弱性やバッファオーバーフロー、パラメータのチェック漏れなどがわかります。
ソースプログラムのみで検査しますので、アプリケーションが稼動中の場合や、開発途中の場合でもWebサイトに影響を及ぼすことがありません。
■ 検査結果として提出するレポートの内容とご説明事項
・ 発見された脆弱性のリスト
・ 各脆弱性の脅威度・対策コストをレベル分け
・ 発見された問題点に対する対策の助言
■ 対象となるプログラミング言語
Active Server Pages、ASP.NET、Perl、PHP、Java、Java Script、VB Script、Microsoft Visual Basic 5.x,6.x,7.x(CLI含む)、Microsoft Visual C/C++ 6.x,7.x(MFC、CLI含む)
■ 期間・価格
・ 検査期間 約1.5ヶ月
・ 検査規模例 約50ファイル
・ 価格 150万円〜(税別)
* 画面数や言語によって異なります。詳細はお問い合わせ下さい。
|
B.侵入検査サービスとネットワーク機器/ホスト脆弱性検査サービス
|
|
(1)侵入検査サービス
ネットワーク機器/ホスト脆弱性検査に加えて、実際の侵入者の手口を想定した侵入検査を行うことで、ツールでは発見できないサーバやネットワークの脆弱性を検出することができます。
収集したデータを検証し、脆弱性、対策方法、過去の攻撃を受けた痕跡を報告します。
■ 検査結果として提出するレポートの内容とご説明事項
・ 結果報告(総評、発見されたセキュリティホール情報と対策方法)
・ 検査項目一覧
・ 証拠資料(検出された問題の証拠となる、ファイルや情報など)
・ 簡単な対策資料・検査対象のホスト情報
・ セキュリティ上の問題点の指摘
・ 発見された問題点に対する対策の助言
■ 期間・価格
・ 検査期間 約1ヶ月
・ 検査規模例 10 IP
・ 価格 150万円(税別)〜
* サーバ/クライアント数、サイト数によって異なります。詳細はお問い合わせ下さい。
* 上記期間・価格は、「ネットワーク機器/ホスト脆弱性検査サービス」を含んでいます。
(2)ネットワーク機器/ホスト脆弱性検査サービス
セキュリティ検査ツールを使用してセキュリティホールの有無を検査します。
Webアプリケーション脆弱性検査サービスに比べて安価ですので、気軽に利用していただけます。
■ 期間・価格
・ 検査期間 約1ヶ月
・ 検査規模例 10 IP
・ 価格 80万円(税別)〜
* サーバ/クライアント数、サイト数によって異なります。詳細はお問い合わせ下さい。
* 上記期間・価格は、「ネットワーク機器/ホスト脆弱性検査サービス」を単体で実施した場合です。
■ 検査結果として提出するレポートの内容とご説明事項
・ 結果報告(総評、発見されたセキュリティホール情報と対策方法)
・ 検査項目一覧
・ 検査対象のホスト情報
・ セキュリティ上の問題点の指摘
・ 発見された問題点に対する対策の助言
|
差分・定期検査サービス
|
|
機能追加や更新の度合いに応じ、一定期間内での脆弱性を検査します。
■ 検査結果として提出するレポートの内容とご説明事項
・ 発見された脆弱性のリスト
・ 各脆弱性の脅威度・対策コストをレベル分け
・ 発見された問題点に対する対策の助言
|
