アプリケーション脆弱性診断サービス

ビヨンドのサービス案内

◆ アプリケーション脆弱性診断サービスについて ◆

サイバー攻撃の脅威は、日々複雑化・巧妙化し、日本国内でもサイバー攻撃による被害が急増しています。これに対し、企業におけるセキュリティへの投資は増大していく傾向にあります。

多くの情報資産を守ることが難しくなっている現状に対し、セキュリティ投資を効果的に実現していくことが経営課題となっているため、費用対効果が最適化された、より高度なセキュリティ強化の対策が望まれます。

第三者からの視点に基づき、システムやネットワークへのセキュリティ状態を検査することによって、認知することが難しい脆弱なポイントを見つけ出していく「脆弱性診断サービス」は、攻撃者から身を守るための近道と考えます。

ビヨンドでは、高まるサイバー攻撃の脅威に対して、最新鋭の高度な技術を取り入れた、セキュリティ診断サービスをご提供いたします。Webサイト / アプリケーション診断やAPI診断・スマートフォンアプリ診断・クラウドプラットフォーム診断・ペネトレーションテストなど、セキュリティ強化の対策を幅広くサポートいたします。

脆弱性診断サービス

◆ アプリケーション脆弱性診断サービスのプラン ◆

悪意のあるハッカーは、企業システムへの攻撃やデータを盗むにあたり、高度なプログラムや攻撃ツールを活用するようになり、進歩し続けるサイバー攻撃に対抗するには、より定期的・継続的なセキュリティの強化が必要です。

このような様々なセキュリティの課題に対し、最新のサイバー攻撃を熟知したホワイトハッカー・セキュリティエンジニアが、業界トップレベルのテクノロジーを駆使した高度なセキュリティ診断サービスをご提供いたします。それぞれのプランにおいて、OWASP や IPA・PCI DSS などの規格に準拠した試験項目に基づくセキュリティ診断を実施いたします。

Webアプリケーション診断

① Webアプリケーション診断

独自のAIツールによる自動診断と高度な手動診断を組み合わせ、網羅的な脆弱性診断をリモートでご提供するサービスです。AIを活用した独自ツールによる品質を保ちながら、セキュリティエンジニアがより深く脆弱性を検証することを可能としており、現実的な攻撃を想定した高い品質と、短期間での脆弱性診断をご提供します。

スマホアプリ診断

② スマホアプリ診断

スマホアプリとサーバーAPIを含めた脆弱性や侵入の可能性を網羅的に診断し、高頻度で更新されるアプリ側のセキュリティを担保します。悪意のあるライブラリなどの埋め込みや、頻繁に更新される悪意あるコード・ファイルも効果的に検出するなど、独自のAIツールにより、コード解析だけでは発見できない脆弱性も検出します。

プラットフォーム診断

③ プラットフォーム診断

稼働中のシステムへ極力負荷を与えることなく、サーバー上で動作している OS やプロセスを検出し、診断対象に存在するリスクを列挙します。ネットワークを経由してサービスを提供するサーバー・ルーター・ファイアウォール・PC・IoTデバイスなどを網羅的に診断します。もちろん、利用中の AWS や Azure・GCP などのクラウド環境の診断にも対応します。

ペネトレーションテスト

④ ペネトレーションテスト

最新の知識を持つホワイトハッカーが、実際の攻撃を想定した 複数の脆弱性を組み合わせる手法で脆弱ポイントを探し出し、実際に攻撃が可能かどうかを様々な観点から検証します。単一の脆弱性に絞るだけでなく、セキュリティツールの迂回を想定した調査、ビジネスロジック観点からの調査など、シナリオに応じた診断を網羅的に実施します。

※ 上記の脆弱性診断サービスのプランは一例です。上記以外の脆弱性診断の項目をご希望の場合は、別途ご相談ください。

~ このような「お悩み・ケース」はありませんか?まずは一度ご相談ください!~

  • 自社のWebサイトやシステムにセキュリティの不安がある
  • 未然にシステム改ざんや漏洩の可能性を防ぎたい
  • 新しいサービスをリリースするので短期間で診断したい
  • ソフトウェアにマルウェアが潜んでいないか確認したい
  • ミドルウェアのバージョンに問題が無いかチェックしたい
  • システムへの不正なアクセス・利用があるか把握したい
  • セキュリティ強化を考慮したシステムのアドバイスがほしい
  • 外部のセキュリティ専門家による脆弱性検査を受けたい
  • WAF・IPS / IDS などセキュリティサービスの提案がほしい
  • 今後のセキュリティ管理・アップデート対応も任せたい

◆ アプリケーション脆弱性診断サービス 導入の流れ ◆

脆弱性診断のご依頼~作業完了~レポート提出 までは、7~30営業日のスケジュールを想定しております。また、アフターサポートとして、脆弱性診断で検出された結果に応じて、脆弱性の修正後に伴う再検査もおこなっております。

  1. ヒアリング

    1. ヒアリング
    診断の対象となる FQDN もしくは API の数量をヒアリングし、Webサイト・アプリケーションに対してクローリングを実施します。その後、診断作業の適応範囲・ボリュームを確認し、スケジュールの調整をおこないます。
  2. 診断作業準備

    2. 診断作業準備
    ヒアリングシートへ必要情報の記入・注意事項に同意いただき、診断の対象となる環境に設置されている、FW / WAF / IPS / CDN などの機能の除外設定、環境への事前のアクセス確認をおこないます。
  3. 診断作業開始

    3. 診断作業開始
    事前に記入いただいたヒアリングシート・シナリオの項目に基づき、ツール診断と手動診断の両方の方法を用いて、潜在的なリスクを抽出するために 網羅的な脆弱性診断の検査をおこないます。
  4. レポート作成

    4. レポート作成
    脆弱性診断の結果を踏まえて、レポート作成をおこないます。レポートに表記される言語は日本語・英語・中国語(簡体字 / 繫体字)に対応しています。※ 中国語は別途オプションでのご対応となります。
  5. 作業完了報告

    5. 作業完了報告
    脆弱性のリスクレベル・脆弱性の内容・想定される脅威・対策措置などが記載された脆弱性診断のレポートをお送りいたします。お客様のご要望に応じて、脆弱性診断結果の報告会・レビューをおこないます。
  6. アフターサポート

    6. アフターサポート
    お客様にて脆弱性診断で検出された箇所の修正を実施いただいたあと、ご要望に応じて 脆弱性診断のスケジュール再調整・再検査をおこないます。(再検査の回数・期間には制限があります)

◆ その他の脆弱性診断サービス◆

Webサイト セキュリティ自動診断「クイックスキャナー」

Webサイト セキュリティ自動診断「クイックスキャナー」

独自のセキュリティ診断技術を搭載した、低価格で簡単に使用できる、Webサイトの自動診断サービスです。お客様が利用するWebサイトのドメイン(FQDN)をご共有いただくだけで、ご利用中のWebサイトを迅速に診断いたします。セキュリティ診断が完了したあとは、診断内容を精査し診断結果のレポートをご提供いたします。

クラウド型 Webアプリケーション 脆弱性診断「VAddy」

クラウド型 Webアプリケーション 脆弱性診断「VAddy」

検査対象となるホストの登録後、検査したい画面のURLとパラメータを VAddy に記録するだけで、現実的な脅威に対応した脆弱性診断を実行します。Webアプリケーションの機能追加・改修した箇所だけをスピーディーに検査できるので、大規模なWebアプリケーションであっても、短期間で脆弱性診断が完了します。

AI型 / 手動型 セキュリティ診断サービス「RayAegis」

AI型 / 手動型 セキュリティ診断サービス「RayAegis」

世界最先端のセキュリティとAIの技術を組み合わせ、米国政府と同期した独自情報を含むデータベースを使用して、Webサイトやアプリケーションがハッキングされているかどうか、また、ゼロデイなどの未知の脆弱性をも効率的に確認し、最も厳しい国際基準を満たしたセキュリティサービスを提供いたします。

お問い合わせ・資料ダウンロードする