脆弱性診断サービス

ビヨンドのサービス案内

脆弱性診断サービス について

サイバー攻撃の脅威は、日々複雑化・巧妙化し、日本国内でもサイバー攻撃による被害が急増しています。これに対し企業におけるセキュリティ対策への投資は増大していく傾向にあります。

多くの情報資産を守ることが難しくなっている現状に対し、セキュリティ投資を効果的に実現していくことが経営課題となっているため、費用対効果が最適化された、より高度なセキュリティ強化が望まれます。

第三者からの視点に基づき、システムやネットワークへのセキュリティ状態を検査することによって、認知することが難しい脆弱なポイントを見つけ出していく 脆弱性診断サービス は、攻撃者から身を守るための近道と考えます。

高まるサイバー攻撃の脅威に対して、ビヨンドでは最新鋭の高度な技術を取り入れた脆弱性診断サービスをご提供いたします。Webサイト / アプリケーション診断 や スマホアプリ診断・クラウドプラットフォーム診断・ペネトレーションテストなど、セキュリティ診断の範囲を幅広くサポートいたします。

脆弱性診断サービス

   

◆ 脆弱性診断サービス のプラン ◆

悪意のあるハッカーは、企業システムへの攻撃やデータを盗むにあたり、高度なプログラムや攻撃ツールを活用するようになり、進歩し続けるサイバー攻撃に対抗するには、より定期的・継続的なセキュリティの強化が必要です。

このような様々なセキュリティの課題に対し、最新のサイバー攻撃を熟知したホワイトハッカー・セキュリティエンジニアが、業界トップレベルのテクノロジーを駆使した高度なセキュリティ診断サービスをご提供いたします。それぞれのプランにおいて、OWASP や PCI DSS などの規格に準拠した試験項目に基づいたセキュリティ診断を実施いたします。


Webアプリケーション診断

① Webアプリケーション診断

独自のAIツールによる自動診断と高度な手動診断を組み合わせ、網羅的な脆弱性診断をリモートでご提供するサービスです。AIを活用した独自ツールによる品質を保ちながら、セキュリティエンジニアがより深く脆弱性を検証することを可能としており、現実的な攻撃を想定した高い品質と、短期間での脆弱性診断をご提供します。

スマホアプリ診断

② スマホアプリ診断

スマホアプリ+サーバー側APIを含めた脆弱性や侵入の可能性を網羅的に診断し、高頻度で更新されるアプリ側のセキュリティを担保します。悪意のあるライブラリなどの埋め込みや、頻繁に更新される悪意あるコード・ファイルも効果的に検出するなど、独自AIツールにより コード解析だけでは発見できない脆弱性も検出します。

プラットフォーム診断

③ プラットフォーム診断

稼働中のシステムへ極力負荷を与えることなく、サーバー上で動作しているOSやサービスを検出し、診断対象に存在するリスクを列挙します。ネットワークを経由してサービスを提供するサーバー・ルーター・ファイアウォール・PC・IoTデバイスなどを網羅的に診断します。もちろん AWS や Azure・GCP などのクラウド環境の診断にも対応します。

ペネトレーションテスト

④ ペネトレーションテスト

最新の知識を持つホワイトハッカーが、実際の攻撃を想定した 複数の脆弱性を組み合わせる手法で脆弱ポイントを探し出し、実際に攻撃が可能かどうかを様々な観点から検証します。単一の脆弱性に絞るだけでなく、セキュリティツールの迂回を想定した調査、ビジネスロジック観点からの調査など、シナリオに応じた診断を網羅的に実施します。

※ 上記の脆弱性診断サービスのプランは一例です。上記に無い脆弱性診断の項目をご希望の場合は、別途ご相談ください。

◆ 脆弱性診断サービス 導入の流れ ◆

脆弱性診断のご依頼 ~ 作業完了 ~ レポート提出 までは、7営業日 ~ 30営業日のスケジュールを想定しております。また アフターサポートとして、脆弱性診断で検出された結果に応じて、脆弱性の修正後に伴う再検査もおこなっております。


  1. ヒアリング

    1. ヒアリング
    診断の対象となるFQDNもしくはAPIの数量をヒアリングし、Webサイト・アプリケーションに対してクローリングを実施します。その後、診断作業の適応範囲・ボリュームを確認し、スケジュールの調整をおこないます。
  2. 診断作業準備

    2. 診断作業準備
    ヒアリングシートへ必要情報の記入・注意事項に同意いただき、診断の対象となる環境に設置されている FW / WAF / IPS / CDN などの機能の除外設定、環境への事前のアクセス確認をおこないます。
  3. 診断作業開始

    3. 診断作業開始
    事前に記入いただいたヒアリングシート・シナリオの項目に基づき、ツール診断と手動診断の両方の方法を用いて、潜在的なリスクを抽出するために 網羅的な脆弱性診断の検査をおこないます。
  4. レポート作成

    4. レポート作成
    脆弱性診断の結果を踏まえて、レポート作成をおこないます。レポートに表記される言語は日本語・英語・中国語(簡体字 / 繫体字)に対応しています。※ 中国語は別途オプションでのご対応となります。
  5. 作業完了報告

    5. 作業完了報告
    脆弱性のリスクレベル・脆弱性の内容・想定される脅威・対策措置などが記載された脆弱性診断のレポートをお送りいたします。お客様のご要望に応じて、脆弱性診断結果の報告会・レビューをおこないます。
  6. アフターサポート

    6. アフターサポート
    お客様側にて脆弱性診断で検出された箇所の修正を実施いただいたあと、ご要望に応じて 脆弱性診断のスケジュール再調整・再検査をおこないます。(再検査の回数・期間には制限があります)