Webセキュリティ診断&監査
すべてのWebサイトに安全性が求められる時代です
- SQLインジェクション、クロスサイト・スクリプティング、ディレクトリ・トラバーサル・・・、業種、規模の大小、有名無名関わらず、ホームページは常に世界中から悪意を帯びた攻撃にさらされています。特にホームページ上のフォームから個人情報などを入力してサーバーに送信するようなページを持つサイトは、サイトの改ざんやサーバーからの情報漏えい、アクセス者のフィッシングサイトへの不正誘導など実害にも結びつき、サイト閉鎖や損害賠償などのリスクも無視できません。
- このような恐ろしいWebへの攻撃も、基本的なセキュリティ対策を怠らなければかなりの程度防ぐことができます。当サービスは、情報セキュリティ監査の一環として、中小のビジネスサイトを対象に低価格で手軽に受けられるWebの健康診断です。
当サービスの特徴
1. | 一般的なWebサイトに求められる基本セキュリティ項目を診断 |
|
独立行政法人 情報処理推進機構(IPA)による「安全なウェブサイトの作り方」別冊の『ウェブ健康診断仕様』などをベースに、独自項目を加えて、一般的なWebサイトのセキュリティ確保に最低限必要とされる項目を網羅しています。 | ||
2. | 専門技術者による人的な診断でリスクに応じた調査を実施 |
|
国内提携企業の技術者により、ツールによる自動診断及び人の目を通じた診断を併用し、対象サイトの用途やターゲット、運用等を考慮しリスクに応じた効果的な診断を行います。意図的な攻撃だけでなく誤操作のリスクなども考慮します。 | ||
3. | 公的資格保有者による報告書の提供 |
|
当オフィスは経済産業省の情報セキュリティ監査企業台帳およびシステム監査企業台帳に登録されていますので、公的機関などが要求する外部監査にも対応する ことができます。また、ISMSやSEO、経営の観点からの安全に配慮したWebサイト有効活用のアドバイスを行います。 | ||
4. | 企画、開発、テスト等、業務プロセスに沿った適切性の監査も可能です。(オプション) | |
作成されたWebサイトのプログラムだけでなく、開発体制、プロセス、セキュリティ等について各種基準に即したシステム監査を実施いたします。 |
主な診断項目(基本診断)
・SQLインジェクション ・クロスサイト・スクリプティング ・CSRF(クロスサイト・リクエストフォージェリ) ・OSコマンド・インジェクション ・ディレクトリ・リスティング ・メールヘッダ・インジェクション ・ディレクトリ・トラバーサル ・強制リダイレクト |
・HTTPヘッダ・インジェクション ・認証 ・セッション管理の不備 ・認可制御 ・パスワードポリシー ・フォームの脆弱性 ・Cookieの脆弱性 ・非公開ファイルの閲覧 |
|
※ソースレベルでの検証を行うより精度の高い上位診断コースもございます。
サービスの流れ
1) お申し込み |
4) 診断実施 | |||
当オフィスのHPフォームなどからWebセキュリティ診断希望の旨お申し出ください。折り返し詳細確認のご連絡を差し上げます。 | Web診断自体はリモートサイトより、ネットワーク経由で実施します。現地調査やインタビューなど訪問が必要な場合は別途ご契約となります。 | |||
2) ご契約 |
5) 報告書作成 | |||
対象サイトの規模、仕組みなどを確認の上正式見積致します。また事前調査が必要な場合はNDAを締結の上作業を致します。見積金額、内容、納期などご納得頂きましたら正式契約の上作業に入らせていただきます。 |
診断結果を元に、報告書を作成します。報告書は標準形式の他、お客様や報告先のご希望に添った書式での作成・提出も可能です。提出は原則PDF送付となりますが、紙でのご提供も可能です。なお訪問での報告会実施は別途お見積となります。 | |||
3) 診断準備 |
6) 改善支援 | |||
診断に当たって必要な情報をご提供頂きます。(URL、サーバスペック、ログイン情報等)これら情報を元に診断準備をさせていただきます。 | 診断結果に基づき修正・改善を実施された場合、原則として1ヶ月間は再診断を無料で行います。(ページ数、内容に制限あり)。またご質問にも随時対応致します。 |