セキュリティ診断・脆弱性診断「SiteScanシリーズ」は、Webアプリケーション/システム全体の脆弱性を診断するサービスです。ご使用のネットワーク/サーバー、Webアプリケーションの脆弱性を見つけ出し、悪意のあるサイバー攻撃や情報漏えい事故などを防止します。他社での設計・構築システムも診断することができ、お客さまが抱えている課題に合わせて、「SiteScan 2.0」「WebSiteScan」「WebSiteScan Pro」の3タイプから選択可能です。
ネットワーク・OS・ミドルウェアなどのプラットフォーム脆弱性診断。
ツール診断ではカバーしきれないセッション管理系の脆弱性診断も可能。ECサイトのような大量の個人情報を扱っているWebサイトにおすすめ。
Webアプリケーション診断/手動の診断項目に加え、JavaScript/Frameworkの解析によりSPA固有の診断項目を高度なハッキングスキルを用いて診断。
セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。
ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう可能性があるかなどをテストをします。 当社が提供するペネトレーションテストは「ネットワークペネトレーションテスト、Webペネトレーションテスト(Blackbox 型/シナリオ型)」と「PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)」に分かれます。
【ネットワークペネトレーションテスト、Webペネトレーションテスト(Blackbox 型/シナリオ型)】
【PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)】
脆弱性手動診断サービス(WebSiteScan Pro)はツール診断ではカバーできないセッション管理系の診断項目に加え、クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目やセキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目に沿ってWebアプリケーションやWeb/API診断が可能です。またモダンWebと呼ばれているSPA(Single Page Application)やPWA(Progressive Web Apps)の診断にも対応しています。
脆弱性手動診断サービス(WebSiteScan Pro)は包括的な脆弱性検知スキャナー"Nessus"を利用しシステム上の潜在的な脆弱性を検知します。セキュリティエンジニアの結果分析によるレポートを作成し診断結果を提示します。中〜大規模システムに適した診断方法で「ペネトレーションテスト」と同時に実施することがより効果的でシステム全体の観点から見たときに、不正侵入できる弱点を把握することができ脆弱性の発見から悪用できる可能性があるかまで細かく分析します。
【手動診断チケットプラン】
ネットワーク診断(1IP~)
Webアプリケーション診断(1リクエスト〜)
セキュリティ診断・脆弱性診断サービスのSiteScanシリーズは、ネットワーク・OS・ミドルウェアなどを診断対象とするSiteScan 2.0と、Webアプリケーションを診断するWebSiteScanなどにより、脆弱性を見つけ出し、悪意のあるサイバー攻撃や情報漏えい事故などを防止します。
検査対象ごとにセキュリティリスクを検証し、発見された脆弱性評価を「緊急・重大・高・中・低・情報」と影響で分類し、詳細なレポートを提示。外資系サービスとは異なり、日本語のわかりやすいレポートによって報告。脆弱性への対策を実施した結果を前回の結果との比べてレポートを提示することも可能。必要に応じて報告会の実施が可能など充実したサポート体制です。
お客さまが抱えている課題に合わせて、約140,000件の診断項目を保有する「SiteScan 2.0」「WebSiteScan」といったツール診断のほかに、専門のエンジニアが行う手動診断の「WebSiteScan Pro」など診断方法の選択が可能です。「短時間でサイトの脆弱性を調べたい」、「検査コストはなるべくおさえたい」というニーズから、「セッション管理系の診断」まで幅広く対応することができます。
| サービス名 | 特長 | 説明 |
|---|---|---|
SiteScan 2.0ツール診断 |
脆弱性評価基準CVSS/CVE準拠の脆弱性診断 | セキュリティ対策において必要な対策を明確にします。 |
| 影響を記載した脆弱性レポート |
約140,000件の診断項目を保有し、検査対象ごとにセキュリティリスクを検証。 発見された脆弱性評価を「緊急・重大・高・中・低・情報」で分類し、詳細なレポートを提示。 |
|
| 前回のスキャン結果と比較できる差分レポート | 脆弱性への対策を実施した結果を前回の結果との比べてレポート提示が可能。 | |
WebSiteScanツール診断 |
コンテンツ更新時など、オンデマンド診断が可能 |
Webにて提供される管理ツールの利用により、診断日を任意で設定可能。 利用したいタイミングでタイムリーに診断。 SaaS形式の為、初期ハードウェア、ソフトウェアの購入不要。 |
| 充実したサポートメニュー | 必要に応じてセキュリティコンサルタントによる報告会の実施など、充実したサポート体制 | |
| 高性能なWebアプリケーション診断 |
従来のローエンドモデルでは提供が難しいID/パスワード認証後の診断も可能。 ネットワーク・サーバ負荷低減機能により、システムに与える心配を軽減。 |
|
WebSiteScan Proツール診断+ 専門のエンジニア手動診断 |
自動ツールではカバーできないセッション管理の診断項目を網羅 | ツール診断と併せて専門のエンジニアの手動診断を実施。 |
| 専門セキュリティエンジニアサポート | 専門のセキュリティエンジニアが対象システムを確認し、診断手法、診断箇所の選定等をサポート。 | |
| 従来の約1/2の価格で提供可能(当社調べ) | 大量の個人情報を扱っているお客さまやECサイトのセキュリティを対策したい方におすすめ。 |
サイバー攻撃、標的型攻撃は、新たな、高度かつ革新的手法が使われ、攻撃対象も日々変化しています。サイバー犯罪者たちが、シンプルなツールやクラウドサービスなどを使い、重大な脆弱性を悪用してWebサイトへ攻撃することによってもたらされる被害が急増しています。Webサイトのセキュリティを守るためには、常に外部からの脅威に備えておく必要があります。
近年、Webシステム開発会社がお客様に納品する前に脆弱性診断を求められることが一般的になってきました。またそのシステムの安心、安全を継続させるためには定期的な診断を実施することが必要です。アイティーエムの脆弱性診断は、実施回数が決まったチケットプランのほかに、年間の診断回数無制限のプランを提供しており、高品質のサービスをリーズナブルな価格でご利用いただけます。
ECサイトなど大量の個人情報を扱っている企業にとって、不正アクセスなどによる情報漏えいは、ビジネスに致命的な影響を及ぼします。自社サイトに直接的な被害はなくても、脆弱性が悪用でWebサイトを攻撃の踏み台にされる場合もあります。常に外部からの脅威に備え、定期的な脆弱性診断を実施することで、自社だけでなくサプライチェーン全体のセキュリティを守ることができます。
| プラットフォーム層 | Webアプリケーション層 | プラットフォーム層 Webアプリケーション層 |
|
|---|---|---|---|
| SiteScan 2.0 | WebSiteScan | WebSiteScan Pro | |
| 診断方法 | ツール診断 | ツール診断 |
セキュリティエンジニアによる ツール診断および手動診断 |
| ログイン後の 脆弱性診断 |
- | ○ | ○ |
| 脆弱性の説明・ 発生箇所 |
○ | ○ | ○ |
| レポート作成 |
管理サイトからPDF取得 (定期診断後、即時) ※検出された脆弱性に対する推奨される 対処方法も記載 |
管理サイトからPDF取得 (定期診断後、即時) ※検出された脆弱性に対する推奨される 対処方法も記載 |
脆弱性報告書を提出 ※検出された脆弱性に対する推奨される 対処方法も記載 |
| 報告会の実施 | ○(オプション) | ○(オプション) | ○(オプション) |
| 診断項目 | ホストのスキャン、ネットワークサービスの脆弱性、Webサーバーの脆弱性、各種OSの脆弱性、悪意あるソフトウェア、ネットワーク機器の脆弱性
など |
Cookieの取り扱い、セッションID、クロスサイトリクエストフォージェリ、エラーメッセージ処理、SQLインジェクション、クロスサイトスクリプティング、ディレクトリラバーサル、コマンドインジェクション、改行インジェクション、リンクインジェクション、情報公開、HTTPレスポンス分割、コメント、強制ブラウジング、ディレクトリリスティング、システム情報の開示、不要メソッドディレクトリ存在の確認、サーバーエラーメッセージなど |
SiteScan 2.0の診断項目、 WebSiteScanの診断項目に加え、 ネットワーク診断(1IP~)、Webアプリケーション診断(1リクエスト〜)をご利用いただけます。 |
| 診断対象 | 公開サーバー全般 | 自社サイト、キャンペーンサイトなど | ショッピングサイトなどの 個人情報を大量に扱うサイト |
| 準拠規格 | CVSS/CVE | PCI DSS | - |
| サービス詳細 | SiteScan 2.0 » | WebSiteScan » | WebSiteScan Pro » |
各サービスやツールの料金はサービスメニューの価格表ページを御覧ください
当社ホームページのお問い合わせフォームから送信、もしくは当社宛にお電話にてご連絡を下さい。
当社担当者よりご連絡を致します。
お客様先へご訪問し、お客様の課題を当社担当者よりヒアリング致します。
お客様ご要件とヒアリング内容を元に担当営業担当者よりご提示致します。
ご注文書とサービス利用申込書をご送付いただきます。
ツール診断(SiteScan 2.0/WebSiteScan)の場合、診断用ライセンスを発行致します。
手動診断(WebSiteScan Pro)の場合、診断実施のスケジューリングを致します。
ツール診断(SiteScan 2.0/WebSiteScan)の場合、販売報告書を提出致します。ライセンス期間は1年間です。期間内は任意のタイミングでご自由に診断が行えます。
手動診断(WebSiteScan Pro)の場合、セキュリティ診断作業を行ない、診断結果報告書をご提出致します。
セキュリティ診断・脆弱性診断サービス SiteScanシリーズを導入いただいたお客さまにアイティーエムを選んだ決め手や導入後の効果などを伺いました。
携帯アプリケーションの安全性を第三者の目で証明 セキュリティの要求が高い顧客も大満足
Webアプリケーションの脆弱性を低コストで把握信頼性の高いWebサイト構築を目指す
プライバシーマーク更新で求められた Webシステムの脆弱性の把握を低価格で実現
公式サイトに潜んでいた脆弱性を把握・修正。診断を機に、リスクに関する意識改革も進んだ。
