お問い合わせ
お問い合わせ
  • HOME

ScanCheck Plus
スキャンチェックPlus

自動診断ツールでは拾えない脆弱性を発見します
安全なWebアプリケーションを開発するために、多くの企業が自動診断ツールを開発プロセスに導入しています。自動診断ツールによるWebアプリケーションの診断は、ツールの使い方さえ習得してしまえば、セキュリティの専門家を必要とせずとも、Webアプリケーションが安全であるかの結果を知ることがでます。一方で自動診断ツールでは検知が難しい、Webアプリケーションのセキュリティ上の問題というのも存在します。それらは経験豊富なセキュリティの専門家により診断を行い、自動診断ツールのみでは見逃されがちな複雑なセキュリティ上の問題を特定します。

本サービスでは自動診断ツールを導入しているが、経験豊富なセキュリティの専門家でないと発見できない、セキュリティ上の問題を発見します。個社ごとに使用している自動診断ツールと組み合わせることで、Webアプリケーションを安心してご利用いただける環境を実現します。

サービスについて問い合わせる
mv

脆弱性自動診断ツールでは対応できない脆弱性があります

現代のサイバーセキュリティ環境において、脆弱性自動診断ツールは、数多くのセキュリティ脅威を素早く発見する上で不可欠な存在です。
しかし、これらのツールが万能であるわけではありません。複雑なシステム仕様を深く理解し、緻密な判断を下す必要があるタイプの脆弱性、例えば権限詐称やセッション管理の不備といった問題点は、自動診断ツールのみでは非常に検出が難しくなっています。
 
このような脆弱性は、潜在的な危険を内包し、攻撃者によって悪用された場合、企業の重要なデータ漏洩やサービス停止といった重大な被害につながる可能性が高いです。
そのため、自動ツールによる診断に加え、専門知識を持つセキュリティエキスパートによる手動による詳細な検証が必須となります。
これには、システム全体のセキュリティポリシーの理解、各種のログファイルの分析、環境に即したカスタマイズされた攻撃シナリオの実行など、時間と専門性を要する作業が含まれます。
 
セキュリティは、常に最新の脅威に対応することが要求されるため、この複合的なアプローチが、企業の情報資産を守る上で欠かせません。

脆弱性自動診断ツールの得意不得意分野

得意分野

・SQLインジェクション/OSコマンドインジェクション/LDAPインジェクション 
・クロスサイトスクリプティング 
・クロスサイトフォージェリ 
・Cookieの設定不備 
・HTTPヘッダの設定不備

機械的に判断できる脆弱性の検知には強い

不得意分野

・特権階級の権限へのなりすまし/任意のユーザへのなりすまし 
・セッション管理の不備(セッションの固定化, セッション汚染攻撃) 
・ファイルアップロード機能/ダウンロード機能(拡張子改ざん、バイナリ改ざん、CSVマクロインジェクション) 
・認証設計のベストプラクティスの確認(アカウントロック、推奨するべきパスワードルール等)

システムの仕様を理解していないと判断できない
脆弱性の検知には弱い

自動診断ツールに手動診断を複合的に組み合わせて漏れのない脆弱性診断を

ユービーセキュアのスキャンチェックPlusの特長

Reason 01

高度な手動診断

長年の数多くの診断サービスの提供で培ったWebサイトセキュリティのノウハウ、それらの知見から高度な手動診断を提供可能です。
reason01

Reason 02

脆弱性検査ツールを開発しているからこその知見

長年にわたる脆弱性検査ツール「Vex」の開発を通じて得られた豊富な知見により、自動診断ツールの苦手な部分を理解しています。このことから、自動診断ツールが苦手としている項目に応じた、適切な手動診断のメニューを提供できます。
reason02

Reason 03

「診断後」まで見据えた提案

単なる一時的なスポット診断に留まらず、継続的な診断実施のスキームや、診断を自社で実施する内製化のご支援など、中・長期的な観点からセキュリティ対策の最適化へ
reason02

スキャンチェックPlus内容

ユービーセキュアの診断サービスはセキュリティのプロフェッショナルが対象のWebアプリケーションのシステム設計やご依頼の背景をお伺いしたうえで、様々な診断サービスを組み合わせた最善のサービスを提案いたします。

システム特性や機能要件に応じてカスタマイズしてご提案

img01

スキャンチェックPlus活用シーン

ユーザ権限が複数あり、権限ごとの機能が適切に使用できないか不安
複雑な権限のあるシステムにおいて、管理者の権限を不正に利用することができないか確認したい。
ECサイトを開発しているが、ツールベースでの診断しかできていないので不安
ECサイトシステムにおいて、他人のアカウントで不正に購入したり、金額を不正に操作できないか確認したい。
自動診断ツールを自社で導入しているが、アップロード機能が不安
ファイルアップロード機能を不正に利用されマルウェアなどがサーバにアップロードされないか確認したい。
メール送信機能が不正に利用できないか不安
申し込み時に申込内容がメールで送信されるようなシステムにおいて、不正なメールやフィッシングメールの送信できないかどうか確認したい。

料金

個別見積もりとなります。

その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。

前提条件

  •  本サービスはすべての脆弱性を見つけ出すことを保証するものではありません。
  • 本サービス遂行上生じた新たな発明、考案、著作物についての特許権、実用新案権、著作権、その他一切の知的財産権はすべて弊社に帰属します。
  • 本サービスは擬似的な攻撃を実施することで、セキュリティ対策状況を確認するため、不正アクセスとして検知されないよう、各部門とのご調整をお願いします。
  • 共同利用環境等、貴社管轄外リソースを使用されている場合、診断実施に関する許諾をお客様にて得ていただく必要がある場合がございます。
  • Webアプリケーション診断ではプログラムを実行したときの動作を解析する動的解析を行います。動的解析を行うためには正常な操作を実施する必要があるため、診断用アカウントの準備や必要なデータの登録などをご依頼しております。

実施の流れ

flow_PC

よくある質問

再診断は可能ですか?
はい、可能です。
契約時に再診断有無をご選択いただけます。
他社製品の診断ツールとの併用は可能ですか?
はい、可能です。
他社製品の診断ツールを用いている場合でも、弊社のセキュリティエンジニアによる診断を行います。
見つかった脆弱性に関してて診断を実施した後でも問い合わせができますか?
検出した内容について、1ヶ月間お問い合わせを受け付けております。
通常のWebアプリケーション診断との違いは?
本サービスは、ツール診断が苦手としている部分に対して、弊社のセキュリティエンジニアによる手動診断のみを提供しているサービスとなります。
ツール診断を含めた通常のWebアプリケーションは下記よりご検討ください。
https://www.ubsecure.jp/assessment/web_app

お問い合わせ

株式会社ユービーセキュア

〒104-0045
東京都中央区築地4丁目7番5号 築地KYビル4階

  • x
  • facebook
  • in
Copyright (c)UBsecure Inc. All Rights Reserved.