GMOサイバーセキュリティ byイエラエ株式会社

Webアプリケーション診断 プレミアムプラン

脆弱性診断とホワイトハッカーの知見を活かしたソースコード診断のハイブリッドサービス

Web脆弱性診断プレミアムは、通常のWeb脆弱性診断に加えてホワイトハッカーの知見を活かしたソースコード診断を組み合わせたハイブリッドサービスを提供します。世界レベルのホワイトハッカーによって標準化された診断手法で、深刻な脆弱性に注力したソースコード診断を実施します。一般的な診断手法より高品質な診断結果を得ることができます。また、大規模な診断対象でも全体を対象に診断を行うことができ、アプリケーション全体のセキュリティ対策に有効です。

Webアプリケーション診断 プレミアムプランは
こんな方におすすめ

  • 通常の診断を行う予定はあるが、追加でソースコードを含めた診断を実施したい
  • システム全体に効果的なセキュリティ対策を講じたい
  • 既存の診断手法では見逃されがちな深刻な脆弱性がないか確認したい

Webアプリケーション診断プレミアムの
特長

01経験豊かなセキュリティ診断員が診断します

Webアプリケーションの特性に応じた柔軟な診断を行います。一般的に脆弱性診断が難しいとされるモダンなプロトコル、例えば、リアルタイムチャットやゲームで用いられるWebSocket、gRPC、GraphQL等のプロトコルだけではなく、Firebaseなどにも対応可能です。(実施には条件がありますのでご相談ください)

02ブラックボックステストでは検証できない項目や潜在的なリスクの検出

ブラックボックステストだけでは検証が困難な項目や潜在的なリスクも検出することができます。ソースコード診断により、アプリケーションの内部に潜む脆弱性やセキュリティリスクを特定することができます。これにより、より信頼性の高い脆弱性診断と、原因や対策方法をより明確にした結果報告が可能です。

03300項目以上の標準化された診断と問題のある実装箇所への対策提案

世界レベルのホワイトハッカーによって作成された独自項目を含め、1900項目以上の診断項目の中からリスクの高い項目(300項目以上)を選定して診断します。さらに、診断結果において問題のある実装箇所を特定し、経験豊富なエンジニアが具体的な対策を提案します。

その他のプラン

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料をダウンロード
いただけます。
資料ダウンロード

Webアプリケーション診断 プレミアムプランの
診断フロー

 
  1. 01

    診断要件のヒアリング

    仕様書や担当者様へのヒアリング、実際のアプリケーションへのアクセスによりシステム構成を把握し、診断対象となるリクエスト数を算出します。

  2. 02

    対象合意と御見積

    手動によるクローリングにて対象一覧を作成し、診断対象候補を列挙します。ご選定された結果に合わせて御見積をお出しします。また、対象システムのソースコードについても共有いただきます。

  3. 03

    ソースコード分析と診断作業実施

    診断対象への網羅的な診断を行い、設定不備やセキュリティ対策漏れによるWebアプリケーションの脆弱性を検出します。さらにソースコード診断によってシステムの脆弱性を洗い出します。

  4. 04

    リスク評価と報告

    分析結果をもとに、発見した脆弱性の詳細や再現手順等をご報告します。それらによるリスクや推奨する対策方法についてもご説明します。
    ※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。

Webアプリケーション診断 プレミアムプランに関する
よくある質問

Qシステムの稼働に影響ありますか?
Aサービスの負荷が上昇する等、影響が出る可能性があり、検証環境での実施を推奨します。
本番環境での実施はこちらをご参考ください。
https://gmo-cybersecurity.com/blog/web-application_production_environment/
Q準備するものはありますか?
AWebアプリケーションやAPIが正常動作する環境やアカウント情報、ソースコード共有のご準備をお願いします。また、可能であれば仕様書の準備をお願いするケースがあります。
Qソースコードの受領方法について
AGitHubやGitLab等を利用して開発を行っているようであればリポジトリに招待いただくことを推奨しています。その他の場合についても診断環境で動作するものと同一のソースコード一式の共有をお願いしています。
Qソースコード診断ではどのような作業を行いますか?
Aソースコードを対象にツールによる診断と手動による精査を組み合わせてシステム全体を検査します。これによって短期間で効率的にセキュリティ上の脆弱性や潜在的リスクを特定します。
Q報告書にはどのような情報が含まれますか?
A報告書には、診断作業の結果や検出した脆弱性の再現手順や対策方法が含まれます。脆弱性の脅威や影響範囲に応じてリスク評価を客観的に可視化します。
Qソースコード診断ではどのプログラミング言語に対応していますか?
A現在以下のプログラミング言語に対応しております。その他の言語についてはご相談ください。
Java, JavaScript, Ruby, PHP, C#, Python, Go

お見積り/お問い合わせ
資料請求はこちら

お見積もり・お問い合わせ
資料ダウンロード

関連サービス

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説