Webアプリケーション診断は、お客様のWebサイトやAPIに対し、既知の脆弱性や設定不備がないか、専門家の視点とツールを用いて網羅的にセキュリティ上の問題点を発見・評価する診断です。
SQLインジェクションやクロスサイトスクリプティング(XSS)といった代表的な攻撃手法への耐性を確認し、個人情報や機密情報の漏洩、不正アクセスといったリスクを未然に防ぐことを目的とします。
診断結果に基づき、具体的な修正方法を提案することで、アプリケーションのセキュリティレベル向上を支援します。
OWASP ASVSに基づき、Webアプリケーションに求められるセキュリティ要件を体系的に検証します。ログインや認証・認可処理、入力値の検証、セッション管理、エラーメッセージの取り扱い、ログの出力状況、ビジネスロジックの整合性など、攻撃に悪用されやすい要素を技術的な観点から幅広くチェックします。特に、ユーザー操作に連動する箇所を重点的に診断し、想定外のアクセスや権限操作が発生しないかを評価します。
Burp Suite, OWASP ZAPなどの自動化ツールを用いて広範囲な脆弱性を効率的にスキャンした上で、エンジニアが手動でビジネスロジックや認可まわりの検証を行います。これにより、認証回避、IDOR、状態遷移ミスなど、ツールだけでは発見が困難な脆弱性にも対応可能です。自動と手動を組み合わせることで、検出精度と網羅性の両立を実現しています。
診断結果は、発見された脆弱性ごとにリクエスト例やパラメータ、影響範囲、再現手順を含めた詳細なレポートとしてご提供します。CVSSベースのリスク評価や対応優先度も明記されており、開発チームが即時に対応しやすい構成です。また、報告書は社内向けの改善資料としてだけでなく、取引先や監査対応用のセキュリティ証跡としても活用できます。
仕様書や担当者様へのヒアリング、実際のアプリケーションへのアクセスによりシステム構成を把握し、診断対象となるリクエスト数を算出します。ご選定された結果に合わせてお見積をお出しします。
所要期間:約1週間
手動診断とツールによる自動スキャンを組み合わせたハイブリッド方式で、包括的な脆弱性診断を実施します。
所要期間:2~3週間(診断規模により変動)
発見した脆弱性の詳細な解説と具体的な対策方法を提案します。
所要期間:最短10営業日
ユーザーの入力値が適切にフィルタリング・エスケープされないまま処理されることで発生する、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの代表的な脆弱性を検出します。加えて、OSコマンドインジェクションやHTTPヘッダーインジェクション、メールヘッダーインジェクション、XXE(XML External Entity)インジェクション、LDAPインジェクションなど、攻撃対象が多様化している現代に対応した検査も実施します。これらはすべて、システムに任意のコマンドを実行させたり、意図しない情報漏えいを引き起こすリスクをはらんでいます。
昨今増加傾向にあるNoSQLインジェクション、テンプレートインジェクション、コードインジェクション、サーバーサイドリクエストフォージェリ(SSRF)といった、Webアプリケーションの裏側で動作する処理系への不正入力に起因する脆弱性も対象としています。これらは一般的な入力検証だけでは防ぎにくく、特にクラウド連携やAPIベースのモダンアプリケーションにおいては、重大な情報漏えいや内部アクセスに繋がるケースもあります。診断では、アプリケーションの実装構造に応じた柔軟な攻撃シナリオを構築し、動的に検査を行います。
開発時に見落とされがちな、リダイレクト処理やファイルアクセスに関する脆弱性についても調査対象としています。オープンリダイレクトにより悪意ある外部サイトへユーザーが誘導されるリスク、ディレクトリトラバーサルにより本来アクセスできないファイルが読み取られるリスクなど、Webアプリの仕様に依存する攻撃経路を再現し、セキュリティ上の弱点を洗い出します。
