脆弱性診断(セキュリティ診断)は、情報システムや情報資産への侵害を許すような脆弱性や欠陥を、外部から検査して報告するサービスです。健康診断では聴診器やレントゲンで身体の情報を収集して病気の兆候を見つけるように、脆弱性診断では様々な方法でシステム応答を収集して脆弱性を発見します。
検査する範囲によって「Webアプリケーション診断」「プラットフォーム診断」「クラウド診断」等といった種類があります。ここでは、それらの脆弱性診断サービスの中から一部をご紹介します。
Webアプリケーション診断は、ECサイトやコーポレートサイトなどのWEBサイトをはじめ、スマートフォンアプリ向けのWeb API、およびREST APIなどのフロントレスWebサービスといった、HTTP通信を伴うWebアプリケーションを対象とした脆弱性診断です。
ユーザとして対象のWebアプリケーションを操作しながら、サーバサイドプログラムにおける挙動やHTTP通信の内容、クライアントサイドの画面要素やJava Scriptプログラムの挙動を確認して、Webアプリケーションに潜む不具合や欠陥を見つけ出します。
この診断では、Webアプリケーションのセキュリティを策定する国際的な組織であるOWASPが発行している「アプリケーションセキュリティ検証基準(ASVS)」を基準としています。
スマートフォンアプリケーション診断は、iOSやAndroidのスマートフォン端末で動作するモバイルアプリケーションを対象とした脆弱性診断です。
ユーザとして対象のモバイルアプリケーションを操作しながら、ストレージへの保存やログ出力といった挙動やサーバとの通信、配布アプリに含まれるコンテンツなどを確認して、アプリケーションに潜む不具合や欠陥を見つけ出します。
この診断では、上で触れたOWASPが発行している「モバイルアプリケーションセキュリティ検証標準(MASVS)」を基準としています。
クラウド診断は、AWSやGCP、Azureといったクラウド環境を対象とした脆弱性診断です。
管理コンソールやアカウント、各種サービスやネットワークのアクセス制御といったセキュリティ設定を確認して、クラウド環境に潜む不具合や欠陥を見つけ出します。
クラウドのユーザによるクラウド設定が対象で、アプリケーションやOS・ミドルウェア(プラットフォーム)の脆弱性は対象とならない点に注意が必要です。
この診断では、各種製品のベストプラクティスを整理・提供する組織であるCenter for Internet Security(CIS)が発行している「CISベンチマーク」を基準としています。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
