SPIRAL ソリューションサービス
エシカルハック(脆弱性診断サービス)
解決できる課題
SPIRAL® でのアプリケーション開発におけるこんなお悩みを解決します
-
開発したアプリケーションが
安全かどうかわからず不安 -
セキュリティ基準を満たす
アプリ開発の⽅法が
わからない -
⽇々変化する攻撃への
対策がわからない -
脆弱性診断にかかる
コストが⾼額
サービス内容
エシカルハックは、SPIRAL® で開発したアプリケーションに対して実施する
Webアプリケーション診断(脆弱性診断)です
※SPIRAL®以外で開発したWebアプリケーションも診断可能ですので、まずはお問い合わせください
SPIRAL® を熟知した診断⼠が対応
⼀般的な脆弱性診断サービスでは検出困難な、SPIRAL® の設定に起因する脆弱性についても検出できます。
低コスト・再診断無料(1回まで)
他社の約5割〜7割程度のコストで実施できます。また、追加費⽤なしで再診断を1回まで承ります。
充実のアフターフォロー
診断後の報告会は無料で実施します。具体的な対策⽅法までフィードバックします。
報告会後に疑問が⽣じた場合も、お問い合わせを承っております。
診断範囲
Webアプリケーション全般(独⾃構築、SPIRAL® 、WordPress)が診断対象となります
Webアプリケーション診断
プラットフォーム上に開発したアプリケーションに対して診断を実施します。
SPIRAL® の標準機能ではセキュリティを確保するための機能を多数提供していますが、カスタマイズ次第ではセキュリティ上望ましくない設定や不適切な設定となる場合があるため、診断を推奨しています。
プラットフォーム診断
Webアプリケーションよりも上流にあるサーバー構成やインフラを診断対象とし、ネットワークやミドルウェアの設定に起因する脆弱性を検出します。
SPIRAL®以外に独⾃にサーバーを調達する(AWS/VPS等)場合に実施を推奨しております。(※オプションでの対応となります)
なお、SPIRAL®については当社主導で定期的に実施しておりますが、こちらも実施をご希望の場合はご相談ください。
Webアプリケーション診断
プラットフォーム上に開発した
Webアプリケーション
プラットフォーム診断
SPIRAL®️、その他サーバなどのプラットフォーム
危険度の基準
発⾒された各脆弱性の「危険度」を5段階で判定します
| 危険度 | 説明 | 当該脆弱性により懸念される事象例 |
|---|---|---|
| Critical |
「深刻」な指摘事項。 直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。 |
|
| High |
「重⼤」な指摘事項。 重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。 |
|
| Medium |
「注意」すべき指摘事項。 被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。 |
|
| Low |
⽐較的「軽微」な指摘事項。 攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。 |
|
| Info |
留意すべき「情報」としての指摘事項。 現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。 |
|
- 危険度
- Critical
- High
- Medium
- Low
- Info
- 説明
- 「深刻」な指摘事項。
直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。 - 「重⼤」な指摘事項。
重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。 - 「注意」すべき指摘事項。
被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。 - ⽐較的「軽微」な指摘事項。
攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。 - 留意すべき「情報」としての指摘事項。
現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。 - 当該脆弱性
により懸念
される事象例 -
- 不特定多数のユーザの個⼈情報が不正取得できてしまう
- ⼤量レコードやWebサイトの改ざんが実⾏できてしまう など
-
- 特定ユーザの個⼈情報が不正取得できてしまう
- レコード情報の改ざんが実⾏できてしまう など
-
- ⼀部のユーザの個⼈情報が漏洩する恐れ
- ⼀部のレコード改ざんや、罠サイトへの誘導を受ける恐れ など
-
- 軽微な情報漏洩が漏洩する可能性
- 攻撃のためのヒントとなる情報が得られる可能性 など
-
- セキュリティ上望まれる、保険的な対策が不⾜している
- 将来的に脆弱性として悪⽤が可能となる可能性がある など
サービス内容を詳しく見る
- サービス内容
-
- 診断報告書の作成
- 想定されるリスクの洗い出しと、対応⽅針の提案
- 発⾒された脆弱性の速報
(CVSS3.1ベースでCritical以上) - 報告会の実施(1回 最大2時間まで)
- 再診断の実施(1回まで無料/指摘項⽬のみ/診断報告書のお渡しから1ヶ⽉以内まで)
- お問い合わせ対応(1回 メール対応 診断結果報告から半年以内)
- 診断手法
- ⼿動診断 / ⾃動診断
- ⾃動診断ツール
- アプリ診断:ZAP / Burp Suite Professional /sqlmap / WPScan
プラットフォーム診断:Greenbone OpenVAS / Qualys SSL Labs / sslscan / Nmap / Zenmap
検証する脆弱性
- ディレクトリ・トラバーサル
- 認証のバイパス
- OSコマンドインジェクション
- CSRF(クロスサイトリクエストフォージェリ)
- XSS(クロスサイトスクリプティング)
- セッションハイジャック
- SQLインジェクション
- HTTPヘッダインジェクション
- アクセス制御/認可制御の不備
- ウェブ健康診断仕様(安全なウェブサイトの作り⽅別表)に記載されている13項⽬※
診断の流れ
ヒアリング
お⾒積もり
診断実施
レポート作成
5〜12営業⽇程度
診断結果報告
再診断
限ります。
他サービスとの⽐較
他サービスを圧倒する充実の対応内容で、安⼼安全なアプリケーション開発を⽀援します
| 当社 | A社 | B社 | X社 | G社 | E社 | |
|---|---|---|---|---|---|---|
| 診断⾦額 | 20万円〜 | 100万円〜 | 80万円〜 | 30万円 | 2万円 | 40万円 |
| 対象ページ | 最⼤50画⾯遷移 | 50リクエスト | 50画⾯遷移上限 | 5動的リクエスト | 1リクエスト | 10リクエスト |
| 診断⼿法 | ⾃動/⼿動 | ⾃動/⼿動 | ⾃動/⼿動 | ⾃動 | ⾃動/⼿動 | ⾃動/⼿動 |
| 診断報告書の作成 | 無料 | 無料 | 無料 | 無料 | 10万円 | – |
| 報告会 | 無料 | オプション | オプション | オプション | 10万円 | 15万円 |
| 再診断 | 1回まで | オプション | 3件まで | オプション | 10万円 | Medium以上 |
| 速報サービス | Critical以上 | – | – | ⾼危険度のみ | ⾼危険度のみ | – |
| お問い合わせ対応 | 1回まで無料 | – | – | – | – | – |
| 診断結果 | 対象ページ | 診断⼿法 | 診断報告書の作成 | 報告会 | 再診断 | 速報サービス | お問い合わせ対応 | |
|---|---|---|---|---|---|---|---|---|
| 当社 | 60万円 | 最⼤50画⾯遷移 | ⾃動/⼿動 | 無料 | 無料 | 1回まで | Critical以上 | 1回まで無料 |
| A社 | 100万円〜 | 50リクエスト | ⾃動/⼿動 | 無料 | オプション | オプション | – | – |
| B社 | 80万円〜 | 50画⾯遷移上限 | ⾃動/⼿動 | 無料 | オプション | 3件まで | – | – |
| X社 | 30万円 | 5動的リクエスト | ⾃動 | 無料 | オプション | オプション | ⾼危険度のみ | – |
| G社 | 2万円 | 1リクエスト | ⾃動/⼿動 | 10万円 | 10万円 | 10万円 | ⾼危険度のみ | – |
| E社 | 40万円 | 10リクエスト | ⾃動/⼿動 | – | 15万円 | Medium以上 | – | – |
サービス規模別料金イメージ
一般的なサービス規模に基づく料金の目安です
※料金は参考値であり、実際の料金はお客様の具体的な要件やプロジェクトの複雑性により大きく異なる場合があります
| サービス規模 | コンテンツイメージ | 参考納期 | 参考価格(外販価格) |
|---|---|---|---|
| コーポレートサイト級 | お問い合わせフォーム 等 | 2〜4営業日 | 200,000円〜 |
| 業務管理サイト級 | 給与明細、勤怠管理、採用管理 等 | 2〜5営業日 | 400,000円〜 |
| ユーザー向けセミナーサイト級 | shopify連携、顧客向けDXサービス 等 | 3〜7営業日 | 600,000円〜 |
| ECサイト級 | ショッピング、発注管理 等 | 4〜8営業日 | 700,000円〜 |
| 金融機関向けサイト級 | 口座開設、本人確認サービス 等 | 2〜12営業日 | 800,000円〜 |
| SNS、ユーザー向け大規模サイト級 | 大規模顧客向けDXサービス 等 | 5〜15営業日 | 900,000円〜 |
- サービス規模
- コーポレートサイト級
- 業務管理サイト級
- ユーザー向けセミナーサイト級
- ECサイト級
- 金融機関向けサイト級
- SNS、ユーザー向け大規模サイト級
- コンテンツイメージ
- お問い合わせフォーム 等
- 給与明細、勤怠管理、採用管理 等
- shopify連携、顧客向けDXサービス 等
- ショッピング、発注管理 等
- 口座開設、本人確認サービス 等
- 大規模顧客向けDXサービス 等
- 参考納期
- 2〜4営業日
- 2〜5営業日
- 3〜7営業日
- 4〜8営業日
- 4〜12営業日
- 5〜15営業日
- 参考価格(外販価格)
- 200,000円〜
- 400,000円〜
- 600,000円〜
- 700,000円〜
- 800,000円〜
- 900,000円〜
よくある質問
Qエシカルハックサービスだけ利⽤したいのですが可能ですか?
はい、エシカルハックサービス単体でもサービスを提供しております。SPIRAL® で開発したアプリ以外にもWordPressサイトの診断プラン等もご⽤意しております。
Q事前にエシカルハックの診断報告書のサンプルを見ることはできますか?
はい、サンプルをご用意しております。お問い合わせフォームからご連絡ください。
- まずはお問い合わせください!
-
SPIRAL® での開発・保守・運用におけるあらゆる課題を解決いたします。
まずはお気軽にご相談ください。
