top of page

脆弱性診断サービス

93190.jpg

近年、インターネットやシステムを狙った不正アクセスや情報漏えいの被害が増えています。このようなサイバー攻撃の多くは、システムやサイトが持つ「脆弱性(弱点)」を突いて行われます。もし脆弱性を放置したままだと、外部から不正に侵入され、業務停止や顧客情報の流出といった深刻なダメージにつながるおそれがあります。

脆弱性診断(セキュリティ診断)は、こうしたシステムの弱点を早めに見つけて対策することでサイバー攻撃による被害を未然に防ぐための手段です。事前に脆弱性をチェックして対策を行っておけば、サイバー攻撃を未然に防ぎ、企業や組織の信頼をしっかりと守ることができます。弊社の脆弱性診断サービスなら、企業のニーズや予算に合わせた柔軟なプランで、この大きなリスクからお客様を守るお手伝いをいたします。

問題が発生てからでは手遅れ!

​最新のAIを使用した弊社の脆弱性診断テストでセキュリティ問題を未然に防ぎましょう

POINT01

最新の技術を用いて、

潜在的な脆弱性を迅速かつ正確に検出します

弊社の脆弱性診断は、最新の技術を駆使して、システム内の潜在的な脆弱性を迅速かつ正確に検出しています。ツールを用いた高度な分析により、手動では見落とされがちな微細なリスクまで網羅し、テストを行います。またツールを活用することにより、テスト工数を大幅に削減することが出来ます。最短当日のテストレポートの提供が可能となります。

100項目にわたる詳細なチェックリストで、あらゆる脆弱性を網羅します
最新のAI技術を用いて、潜在的な脆弱性を迅速かつ正確に検出します

POINT02

詳細なチェックリストで、

あらゆる脆弱性を網羅します

世界最高峰のホワイトハッカー「Nullit(ナルト)」が100項目にわたる詳細なチェックリストを用いて、システムのあらゆる脆弱性を徹底的に調査します。具体的には、認証と認可に関するパスワード強度とポリシーの検証、多要素認証(MFA)の実装状況、セッション管理の脆弱性など多岐に渡るチェックであらゆるリスクを想定します。

POINT03

最短当日に結果をお届けし、

即時に問題を発見します!

高度なツール技術を駆使することで、テスト結果を最短当日にお届けすることが可能です。サービスの脆弱性を迅速に特定することで、セキュリティリスクを最小限に抑えることができます。サイバー攻撃が問題となっている現代においては、

迅速なセキュリティ対応が必要不可欠です。

最短当日に結果をお届けし、即時に問題を発見します!

脆弱性診断の価格

世界で活躍するホワイトハッカー、高いスキルをもったメンバーがさらに深く、細部まで確認します。 アプリケーション・サーバー・ネットワークの、脆弱な部分を特定し、個人情報の漏れや脆弱性がないか診断問題個所の原因調査、改修案のご提案とご報告をいたします。

当サービスでは、企業の状況やご予算に合わせて、以下の2つのプランをご用意しています。

スマートスキャン

脆弱性の有無(深刻度、概要、影響度、修正方法等)を調査します。       

​※調査範囲等はお問い合わせ時にご相談ください。

こんな方にオススメ

☑︎予算を抑えたい

☑︎今のセキュリティ状況を知りたい

☑︎早めにセキュリティ調査を行いたい

料金

30​万円〜

実施期間

1日間〜

目的

個人情報の漏れや脆弱性がないかを

診断します。

​調査環境

本番環境実施可能

検査方法

ツール、手動検査

結果

レポートを提出

ディープスキャン

スマートスキャンで発見した脆弱性から原因や改善方法などを深く調査します。

※調査範囲等はお問い合わせ時にご相談ください。

こんな方にオススメ

☑︎原因まで深く調べたい

☑︎改善策も詳しく知りたい

☑︎脆弱性診断だけでは不安が残る

料金

80万円〜

実施期間

3日間〜

目的

個人情報の漏れや脆弱性を診断し、
問題があった場合には原因を調査します。

調査環境

本番環境実施可能

検査方法

ツール、手動検査

結果

レポートを提出

​シースリーレーヴの
脆弱性診断が選ばれる理由

Group 7 (3).png

​海外でも活躍する
ホワイトハッカーを採用

最新のサイバーセキュリティの技術と経験を持ったホワイトハッカーELVES CORE(エルフコア)がAI脆弱性診断を実施します。

世界基準の高度なスキルを持つエンジニアのみ採用しています。

​技術力ならお任せください。

名称未設定のデザイン (1).png

最短当日(1日)で
​セキュリティ対策が可能

AI脆弱性診断の実施まで煩雑な手続きは一切ありません。

テストに関する作業は弊社で一任してお任せ頂けます。

お申込みからMTGの後、発注後最短5日でテスト開始が可能です。

22902781.jpg

あらゆるセキュリティリスクを​見える化

世界最高峰のホワイトハッカー「Nullit(ナルト)」が100項目にわたる詳細なチェックリストを用いて、システムのあらゆる脆弱性を徹底的に調査します。具体的には、認証と認可に関するパスワード強度、セッション管理の脆弱性など多岐に渡るチェックであらゆるリスクを想定します。

  • 既知の脆弱性があるコンポーネントの使用
    サードパーティのコンポーネントを最新かつ安全に保ちます。
  • XML外部エンティティ(XXE)
    悪意のあるXML入力からのリスクを軽減します。
  • 認証の欠陥
    ユーザーのアイデンティティと資格情報を保護するための強力な認証機構を確立します。
  • インジェクション攻撃
    SQL、NoSQL、OS、LDAPインジェクションの欠陥からデータを保護します。
  • クロスサイトスクリプティング(XSS)
    ユーザーセッションのハイジャックやウェブサイトの改ざんを防ぎます。
  • 安全でないデシリアライズ
    オブジェクトのデシリアライズプロセスの脆弱性を悪用する攻撃を防止します。
  • アクセス制御の欠陥
    システムやデータへの不正アクセスを防止するための適切なアクセス制御を実施します。
  • 機密データの露出
    暗号化と安全な保存方法を実装して機密情報を保護します。
  • セキュリティの設定ミス
    セキュリティ設定を見直し、修正して設定ミスを回避します。
  • 不十分なロギングと監視
    包括的なロギングと監視を実装し、インシデントを迅速に検出および対応します。
  • 脆弱性診断とは何ですか?
    脆弱性診断とは、ITサービスやネットワークに潜在する脆弱性を特定し、セキュリティ攻撃を未然に防ぐためのテストです。これにより、不正アクセスやデータ漏洩を防ぐための対策を講じることができます。
  • 脆弱性診断の結果、どのようなレポートが提供されますか?
    脆弱性診断の結果、診断対象のシステムに存在する脆弱性の詳細なレポートが提供されます。このレポートには、発見された脆弱性の種類、リスクレベル、修正方法などが含まれています。
  • 脆弱性診断はどのくらいの頻度で実施すべきですか?
    脆弱性診断は、定期的に実施することをお勧めします。一般的には、少なくとも年に1回、または重要なシステム変更や新しいセキュリティ脅威が発生した際に診断を行うと良いでしょう。
  • 脆弱性診断を受けることで、どのようなメリットがありますか?
    早期に脆弱性の問題を発見して対策を講じることができます。これにより、自社サービスの問題点を把握し、未然に情報流出などの危険を防ぐことが出来ます。関係するお客様、従業員の方への影響を防ぐことに繋げることができます。
  • 脆弱性診断を受けるためには何が必要ですか?
    脆弱性診断を受けるためには、診断対象のURLもしくはIPアドレスが必要です。これにより、専門家が診断を実施し、結果を報告することができます。
  • 攻撃と侵入テスト
    ウェブアプリケーションで見つかった弱点に対して、安全な方法でテストを行います。発見された問題点が実際に存在するかを確認し、アプリケーションとそのデータを守るために細かくテストを行います。 実施テスト例: データベースへの不正なアクセスやウェブページ上での悪意のあるスクリプト実行のテスト ログイン機能に対して、流出したパスワードや自動入力ツールを使ったテスト ウェブアプリケーションの機能を調べて、安全性の低い通信方式や機能がないか確認する これらのテストは、実際の攻撃者が使う可能性のある方法を模倣して行いますが、システムに害を与えないよう細心の注意を払って行いますのでご安心ください。
  • リストアップ
    より詳しい情報を集めるために、自動化されたプログラムやツールを使い情報収集を行います。ここで集めた情報は、次の段階で活用するための基礎となります。 主な作業内容例: ウェブサイトの構造や関連するサブドメインを調べる クラウドサービスの設定に問題がないか確認する 使用しているソフトウェアやサービスに、既知の弱点がないか調べる これらの作業を通じて、セキュリティ上の問題点を見つけ出し、対策を考えるための重要な情報を集めます。
  • 情報収集
    当社のエンジニアが、様々な公開情報収集ツールやセキュリティ診断ツールを使って、対象のウェブサイトやシステムについて、できるだけ多くの情報を集めます。集めた情報は、組織の状況を理解するのに役立ち、セキュリティ対策を進める中で、リスクを正確に評価できるようになります。 収集される情報例として以下のものが挙げられます Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容 これらの情報を分析することで、セキュリティ上の弱点を見つけ出し、適切な対策を立てることができます。
  • 範囲を定義する
    Web アプリケーションのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ/サブドメイン) 公式テスト期間の決定とタイムゾーンの確認
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、サイト全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • リストアップ
    より高度な情報収集のために自動化されたツールとスクリプトを活用します。想定されるあらゆる攻撃手法を綿密に調査します。ここで集めた情報は、次の段階での効果的なセキュリティ対策立案の基礎となります。 収集する情報例. ・ディレクトリ/サブドメインの列挙 ・クラウド サービスの構成ミスの可能性を確認する 既知の脆弱性とアプリケーションおよび関連サービスの関連付け
  • 攻撃と侵入
    見つかった脆弱性を実際に攻撃してみることで、その危険性を確認します。安全かつ制御された方法でテストを行いますのでご安心ください。 以下想定テスト例. SQLインジェクションやクロスサイトスクリプティング(XSS) Webアプリケーションが外部からのデータ入力をどのように処理するかを試みます。 認証システムへの攻撃 盗まれたログイン情報やブルートフォースツールを使って、認証メカニズムを試します。 アプリケーション機能の監視 不安全な通信方法や機能が利用されていないか確認します。
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • 範囲を定義する
    モバイルアプリのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ) 公式テスト期間の決定とタイムゾーンの確認
  • 情報収集
    当社のエンジニアが、様々な公開情報やセキュリティ専門家による脆弱性リスト(OWASP Top 10など)を使って、あなたの会社やサービスについて可能な限り多くの情報を集めます。 この情報収集は、あなたの会社の状況を理解し、セキュリティ上のリスクを正確に把握するために非常に重要です。 収集される情報例: Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、アプリ全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 未許可のクラウドサービス利用を防ぎ、会社のセキュリティポリシーに沿った運用を徹底したいのですが、どうすれば良いですか?
    当社は、利用されているクラウドサービスを可視化し、適切に管理することで、セキュリティポリシーに準拠したクラウド環境の構築をサポートします。このプロセスにより、未許可のクラウドサービスの利用を防ぎ、会社のセキュリティポリシーに基づいた安全なクラウド運用を実現します。
  • クラウドサービスをビジネスに活用したいのですが、どのようなリスクがあるか分かりません。どうすれば良いでしょうか?
    当社のセキュリティコンサルタントが、クラウドサービス導入に伴うお客様の課題やリスクを明確にし、整理します。リスク評価から具体的な対策の立案、実施まで、総合的にサポートいたします。お客様のビジネスニーズに最適なセキュリティ対策を提案し、安心してクラウドサービスを活用できる環境を構築します。
  • クラウドサービスへの不正アクセスを防ぎたいのですが、どうすれば良いですか?
    当社では、多要素認証(MFA)の導入や、適切なアクセス制御を行うことで、クラウドサービス利用時の認証を強化し、不正アクセスを防止します。これにより、お客様のクラウド環境のセキュリティレベルを向上させ、安心してクラウドサービスを利用できる環境を提供します。

国内外のあらゆる
セキュリティガイドラインを網羅

弊社では、米国のNISTやFedRAMP、英国のCRESTやUKAS、欧州のEU GDPRやTIBER-EUといった国際的なセキュリティガイドラインをはじめ、PCI DSSやHIPAAなどの業界規制、ISOやITUなどの国際標準、さらにNISCや経済産業省(METI)、IPAなど日本国内の指針まで幅広くカバーしています。これにより、国内外の多様な要件に対応し、あらゆる業種・環境のセキュリティ強化に貢献いたします。

ご相談・お問い合わせはお気軽にどうぞ

ホワイトハッカーによるペネトレーションテストであなたのサービスを守ります

bottom of page