top of page

Webペネトレーションテスト

standard-quality-control-collage-concept.jpg

インターネットを介して、Webブラウザ上で動作するアプリケーションを対象としたWebアプリケーションのペネトレーションテスト(侵入テスト)を行います。

 

シースリーレーヴではWebアプリケーションのペネトレーションテストにおいて常に業界をリードし、様々なプログラミング言語や環境の脆弱性を特定します。

大規模なAWS環境におけるWebアプリケーションからレガシーアプリケーションまで、世界中のデータ保護に貢献してまいりました。数十件のゼロデイ脆弱性が公開され、調査結果がニュースに取り上げられるなど、私たちは常に一流のセキュリティテストとして証明しています。

​シースリーレーヴの
Webペネトレーションテストが選ばれる理由

Group 7 (3).png

​海外でも活躍する
ホワイトハッカーを採用

最新のサイバーセキュリティの技術と経験を持ったホワイトハッカーELVES CORE(エルフコア)がペネトレーションテストを実施します。

世界基準の高度なスキルを持つエンジニアのみ採用しています。

​技術力ならお任せください。

名称未設定のデザイン (1).png

最短5日で
​セキュリティ対策が可能

ペネトレーションテスト実施まで煩雑な手続きは一切ありません。

テストに関する作業は弊社で一任してお任せ頂けます。

お申込みからMTGの後、発注後最短5日でテスト開始が可能です。

コストダウン

60万円から
セキュリティ対策が可能

弊社のWebペネトレーションテストは業界最安値級の60万円からテスト可能です。低価格な理由としては高額の理由となる事前打ち合わせや奇麗なレポート作成に時間をかけていないためです。

  • 脆弱性診断とは何ですか?
    脆弱性診断とは、ITサービスやネットワークに潜在する脆弱性を特定し、セキュリティ攻撃を未然に防ぐためのテストです。これにより、不正アクセスやデータ漏洩を防ぐための対策を講じることができます。
  • 脆弱性診断の結果、どのようなレポートが提供されますか?
    脆弱性診断の結果、診断対象のシステムに存在する脆弱性の詳細なレポートが提供されます。このレポートには、発見された脆弱性の種類、リスクレベル、修正方法などが含まれています。
  • 脆弱性診断はどのくらいの頻度で実施すべきですか?
    脆弱性診断は、定期的に実施することをお勧めします。一般的には、少なくとも年に1回、または重要なシステム変更や新しいセキュリティ脅威が発生した際に診断を行うと良いでしょう。
  • 脆弱性診断を受けることで、どのようなメリットがありますか?
    早期に脆弱性の問題を発見して対策を講じることができます。これにより、自社サービスの問題点を把握し、未然に情報流出などの危険を防ぐことが出来ます。関係するお客様、従業員の方への影響を防ぐことに繋げることができます。
  • 脆弱性診断を受けるためには何が必要ですか?
    脆弱性診断を受けるためには、診断対象のURLもしくはIPアドレスが必要です。これにより、専門家が診断を実施し、結果を報告することができます。
  • 攻撃と侵入テスト
    ウェブアプリケーションで見つかった弱点に対して、安全な方法でテストを行います。発見された問題点が実際に存在するかを確認し、アプリケーションとそのデータを守るために細かくテストを行います。 実施テスト例: データベースへの不正なアクセスやウェブページ上での悪意のあるスクリプト実行のテスト ログイン機能に対して、流出したパスワードや自動入力ツールを使ったテスト ウェブアプリケーションの機能を調べて、安全性の低い通信方式や機能がないか確認する これらのテストは、実際の攻撃者が使う可能性のある方法を模倣して行いますが、システムに害を与えないよう細心の注意を払って行いますのでご安心ください。
  • リストアップ
    より詳しい情報を集めるために、自動化されたプログラムやツールを使い情報収集を行います。ここで集めた情報は、次の段階で活用するための基礎となります。 主な作業内容例: ウェブサイトの構造や関連するサブドメインを調べる クラウドサービスの設定に問題がないか確認する 使用しているソフトウェアやサービスに、既知の弱点がないか調べる これらの作業を通じて、セキュリティ上の問題点を見つけ出し、対策を考えるための重要な情報を集めます。
  • 情報収集
    当社のエンジニアが、様々な公開情報収集ツールやセキュリティ診断ツールを使って、対象のウェブサイトやシステムについて、できるだけ多くの情報を集めます。集めた情報は、組織の状況を理解するのに役立ち、セキュリティ対策を進める中で、リスクを正確に評価できるようになります。 収集される情報例として以下のものが挙げられます Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容 これらの情報を分析することで、セキュリティ上の弱点を見つけ出し、適切な対策を立てることができます。
  • 範囲を定義する
    Web アプリケーションのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ/サブドメイン) 公式テスト期間の決定とタイムゾーンの確認
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、サイト全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 既知の脆弱性があるコンポーネントの使用
    サードパーティのコンポーネントを最新かつ安全に保ちます。
  • XML外部エンティティ(XXE)
    悪意のあるXML入力からのリスクを軽減します。
  • 認証の欠陥
    ユーザーのアイデンティティと資格情報を保護するための強力な認証機構を確立します。
  • インジェクション攻撃
    SQL、NoSQL、OS、LDAPインジェクションの欠陥からデータを保護します。
  • クロスサイトスクリプティング(XSS)
    ユーザーセッションのハイジャックやウェブサイトの改ざんを防ぎます。
  • 安全でないデシリアライズ
    オブジェクトのデシリアライズプロセスの脆弱性を悪用する攻撃を防止します。
  • アクセス制御の欠陥
    システムやデータへの不正アクセスを防止するための適切なアクセス制御を実施します。
  • 機密データの露出
    暗号化と安全な保存方法を実装して機密情報を保護します。
  • セキュリティの設定ミス
    セキュリティ設定を見直し、修正して設定ミスを回避します。
  • 不十分なロギングと監視
    包括的なロギングと監視を実装し、インシデントを迅速に検出および対応します。
  • リストアップ
    より高度な情報収集のために自動化されたツールとスクリプトを活用します。想定されるあらゆる攻撃手法を綿密に調査します。ここで集めた情報は、次の段階での効果的なセキュリティ対策立案の基礎となります。 収集する情報例. ・ディレクトリ/サブドメインの列挙 ・クラウド サービスの構成ミスの可能性を確認する 既知の脆弱性とアプリケーションおよび関連サービスの関連付け
  • 攻撃と侵入
    見つかった脆弱性を実際に攻撃してみることで、その危険性を確認します。安全かつ制御された方法でテストを行いますのでご安心ください。 以下想定テスト例. SQLインジェクションやクロスサイトスクリプティング(XSS) Webアプリケーションが外部からのデータ入力をどのように処理するかを試みます。 認証システムへの攻撃 盗まれたログイン情報やブルートフォースツールを使って、認証メカニズムを試します。 アプリケーション機能の監視 不安全な通信方法や機能が利用されていないか確認します。
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • 範囲を定義する
    モバイルアプリのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ) 公式テスト期間の決定とタイムゾーンの確認
  • 情報収集
    当社のエンジニアが、様々な公開情報やセキュリティ専門家による脆弱性リスト(OWASP Top 10など)を使って、あなたの会社やサービスについて可能な限り多くの情報を集めます。 この情報収集は、あなたの会社の状況を理解し、セキュリティ上のリスクを正確に把握するために非常に重要です。 収集される情報例: Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、アプリ全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 未許可のクラウドサービス利用を防ぎ、会社のセキュリティポリシーに沿った運用を徹底したいのですが、どうすれば良いですか?
    当社は、利用されているクラウドサービスを可視化し、適切に管理することで、セキュリティポリシーに準拠したクラウド環境の構築をサポートします。このプロセスにより、未許可のクラウドサービスの利用を防ぎ、会社のセキュリティポリシーに基づいた安全なクラウド運用を実現します。
  • クラウドサービスをビジネスに活用したいのですが、どのようなリスクがあるか分かりません。どうすれば良いでしょうか?
    当社のセキュリティコンサルタントが、クラウドサービス導入に伴うお客様の課題やリスクを明確にし、整理します。リスク評価から具体的な対策の立案、実施まで、総合的にサポートいたします。お客様のビジネスニーズに最適なセキュリティ対策を提案し、安心してクラウドサービスを活用できる環境を構築します。
  • クラウドサービスへの不正アクセスを防ぎたいのですが、どうすれば良いですか?
    当社では、多要素認証(MFA)の導入や、適切なアクセス制御を行うことで、クラウドサービス利用時の認証を強化し、不正アクセスを防止します。これにより、お客様のクラウド環境のセキュリティレベルを向上させ、安心してクラウドサービスを利用できる環境を提供します。

OWASP Top 10による

Webアプリケーションのセキュリティ強化

シースリーレーヴでは、OWASP Top 10ガイドラインに従ってウェブアプリケーションのセキュリティを最優先に考えています。

OWASP(Open Web Application Security Project)Top 10は、ウェブアプリケーションにおける最も重大なセキュリティリスクを特定し軽減するための世界的に認識された標準です。私たちの専門チームは、以下のような一般的な脆弱性に対してお客様のウェブアプリケーションが堅牢で安全であることを保証します

  • 脆弱性診断とは何ですか?
    脆弱性診断とは、ITサービスやネットワークに潜在する脆弱性を特定し、セキュリティ攻撃を未然に防ぐためのテストです。これにより、不正アクセスやデータ漏洩を防ぐための対策を講じることができます。
  • 脆弱性診断の結果、どのようなレポートが提供されますか?
    脆弱性診断の結果、診断対象のシステムに存在する脆弱性の詳細なレポートが提供されます。このレポートには、発見された脆弱性の種類、リスクレベル、修正方法などが含まれています。
  • 脆弱性診断はどのくらいの頻度で実施すべきですか?
    脆弱性診断は、定期的に実施することをお勧めします。一般的には、少なくとも年に1回、または重要なシステム変更や新しいセキュリティ脅威が発生した際に診断を行うと良いでしょう。
  • 脆弱性診断を受けることで、どのようなメリットがありますか?
    早期に脆弱性の問題を発見して対策を講じることができます。これにより、自社サービスの問題点を把握し、未然に情報流出などの危険を防ぐことが出来ます。関係するお客様、従業員の方への影響を防ぐことに繋げることができます。
  • 脆弱性診断を受けるためには何が必要ですか?
    脆弱性診断を受けるためには、診断対象のURLもしくはIPアドレスが必要です。これにより、専門家が診断を実施し、結果を報告することができます。
  • 攻撃と侵入テスト
    ウェブアプリケーションで見つかった弱点に対して、安全な方法でテストを行います。発見された問題点が実際に存在するかを確認し、アプリケーションとそのデータを守るために細かくテストを行います。 実施テスト例: データベースへの不正なアクセスやウェブページ上での悪意のあるスクリプト実行のテスト ログイン機能に対して、流出したパスワードや自動入力ツールを使ったテスト ウェブアプリケーションの機能を調べて、安全性の低い通信方式や機能がないか確認する これらのテストは、実際の攻撃者が使う可能性のある方法を模倣して行いますが、システムに害を与えないよう細心の注意を払って行いますのでご安心ください。
  • リストアップ
    より詳しい情報を集めるために、自動化されたプログラムやツールを使い情報収集を行います。ここで集めた情報は、次の段階で活用するための基礎となります。 主な作業内容例: ウェブサイトの構造や関連するサブドメインを調べる クラウドサービスの設定に問題がないか確認する 使用しているソフトウェアやサービスに、既知の弱点がないか調べる これらの作業を通じて、セキュリティ上の問題点を見つけ出し、対策を考えるための重要な情報を集めます。
  • 情報収集
    当社のエンジニアが、様々な公開情報収集ツールやセキュリティ診断ツールを使って、対象のウェブサイトやシステムについて、できるだけ多くの情報を集めます。集めた情報は、組織の状況を理解するのに役立ち、セキュリティ対策を進める中で、リスクを正確に評価できるようになります。 収集される情報例として以下のものが挙げられます Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容 これらの情報を分析することで、セキュリティ上の弱点を見つけ出し、適切な対策を立てることができます。
  • 範囲を定義する
    Web アプリケーションのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ/サブドメイン) 公式テスト期間の決定とタイムゾーンの確認
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、サイト全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 既知の脆弱性があるコンポーネントの使用
    サードパーティのコンポーネントを最新かつ安全に保ちます。
  • XML外部エンティティ(XXE)
    悪意のあるXML入力からのリスクを軽減します。
  • 認証の欠陥
    ユーザーのアイデンティティと資格情報を保護するための強力な認証機構を確立します。
  • インジェクション攻撃
    SQL、NoSQL、OS、LDAPインジェクションの欠陥からデータを保護します。
  • クロスサイトスクリプティング(XSS)
    ユーザーセッションのハイジャックやウェブサイトの改ざんを防ぎます。
  • 安全でないデシリアライズ
    オブジェクトのデシリアライズプロセスの脆弱性を悪用する攻撃を防止します。
  • アクセス制御の欠陥
    システムやデータへの不正アクセスを防止するための適切なアクセス制御を実施します。
  • 機密データの露出
    暗号化と安全な保存方法を実装して機密情報を保護します。
  • セキュリティの設定ミス
    セキュリティ設定を見直し、修正して設定ミスを回避します。
  • 不十分なロギングと監視
    包括的なロギングと監視を実装し、インシデントを迅速に検出および対応します。
  • リストアップ
    より高度な情報収集のために自動化されたツールとスクリプトを活用します。想定されるあらゆる攻撃手法を綿密に調査します。ここで集めた情報は、次の段階での効果的なセキュリティ対策立案の基礎となります。 収集する情報例. ・ディレクトリ/サブドメインの列挙 ・クラウド サービスの構成ミスの可能性を確認する 既知の脆弱性とアプリケーションおよび関連サービスの関連付け
  • 攻撃と侵入
    見つかった脆弱性を実際に攻撃してみることで、その危険性を確認します。安全かつ制御された方法でテストを行いますのでご安心ください。 以下想定テスト例. SQLインジェクションやクロスサイトスクリプティング(XSS) Webアプリケーションが外部からのデータ入力をどのように処理するかを試みます。 認証システムへの攻撃 盗まれたログイン情報やブルートフォースツールを使って、認証メカニズムを試します。 アプリケーション機能の監視 不安全な通信方法や機能が利用されていないか確認します。
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • 範囲を定義する
    モバイルアプリのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ) 公式テスト期間の決定とタイムゾーンの確認
  • 情報収集
    当社のエンジニアが、様々な公開情報やセキュリティ専門家による脆弱性リスト(OWASP Top 10など)を使って、あなたの会社やサービスについて可能な限り多くの情報を集めます。 この情報収集は、あなたの会社の状況を理解し、セキュリティ上のリスクを正確に把握するために非常に重要です。 収集される情報例: Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、アプリ全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 未許可のクラウドサービス利用を防ぎ、会社のセキュリティポリシーに沿った運用を徹底したいのですが、どうすれば良いですか?
    当社は、利用されているクラウドサービスを可視化し、適切に管理することで、セキュリティポリシーに準拠したクラウド環境の構築をサポートします。このプロセスにより、未許可のクラウドサービスの利用を防ぎ、会社のセキュリティポリシーに基づいた安全なクラウド運用を実現します。
  • クラウドサービスをビジネスに活用したいのですが、どのようなリスクがあるか分かりません。どうすれば良いでしょうか?
    当社のセキュリティコンサルタントが、クラウドサービス導入に伴うお客様の課題やリスクを明確にし、整理します。リスク評価から具体的な対策の立案、実施まで、総合的にサポートいたします。お客様のビジネスニーズに最適なセキュリティ対策を提案し、安心してクラウドサービスを活用できる環境を構築します。
  • クラウドサービスへの不正アクセスを防ぎたいのですが、どうすれば良いですか?
    当社では、多要素認証(MFA)の導入や、適切なアクセス制御を行うことで、クラウドサービス利用時の認証を強化し、不正アクセスを防止します。これにより、お客様のクラウド環境のセキュリティレベルを向上させ、安心してクラウドサービスを利用できる環境を提供します。

Webペネトレーションテストの価格

世界で活躍するホワイトハッカー、高いスキルをもったメンバーがさらに深く、細部まで確認します。 アプリケーション・サーバー・ネットワークの、脆弱な部分を特定し、個人情報の漏れや脆弱性がないか診断問題個所の原因調査、改修案のご提案とご報告をいたします。

料金

60​​〜

実施期間

最短5日~

検査方法

ツール

手動検査

Webペネトレーション価格

こんな方にオススメ

予算を抑えたい

改善策も詳しく知りたい

​今のセキュリティ状況を知りたい

テスト詳細

ご相談・お問い合わせはお気軽にどうぞ

ホワイトハッカーによるペネトレーションテストであなたのサービスを守ります

bottom of page