お問い合わせ

Web Application Assessment
Webアプリケーション診断

web-app-img01
ビジネスを支える
Webアプリケーションの
信頼性を担保

Webサイトやクラウドサービス上での会員登録やお問い合わせ、商品検索、認証などの様々なサービス提供を実現するためのWebアプリケーションは、コンテンツ改ざんや個人情報漏えい、サーバへの不正アクセスなどの脅威リスクに直面しています。本サービスでは、これらのサイバー攻撃のリスクと被害発生が想定されうる不具合(脆弱性)が存在しないか確認いたします。
SQLインジェクションやクロスサイトスクリプティング、パラメータ改ざん、セッションフィクセーションなどの脆弱性が存在しないWebアプリケーションの開発及び運用を行うことで、Webサイトやクラウドサービスを安心してご利用頂ける環境を実現します。

無料でセルフチェック

無料で相談する

自社にあった診断サービス、見つからずにお困りではありませんか?

pict-aboutpict-about-sp

ユービーセキュアのサービスの特長

自社開発の脆弱性診断ツールと専門性の高い診断士による高度なマニュアル診断をかけあわせる方法で、
お客様のニーズに合わせた脆弱性診断プランをご提案します。

01

長年培われた診断ノウハウ

国内シェアNo.1の脆弱性検査ツールである「Vex」の開発を通じて得られた豊富な知見や、長年の数多くの診断サービスの提供で培ったWebサイトセキュリティのノウハウにより、Webアプリケーションに潜む脆弱性を検査し診断します。

02

必要に応じた診断プラン

経験豊富なコンサルタントによる詳細なヒアリングを通じて、対象システムの特性や、期間・コスト等を明らかにし、セキュリティ課題の解決に向けた最適な対応プランをご提案します。gRPC・gRPC-Web・GraphQLを使用したWebアプリケーションの診断も可能です。

03

「診断後」まで見据えた提案

単なる一時的なスポット診断に留まらず、継続的な診断実施のスキームや、診断を自社で実施する内製化のご支援など、中・長期的な観点からセキュリティ対策の最適解へ導くための提案が可能です。

サービスの詳細

ユービーセキュアの診断サービスはセキュリティのプロフェッショナルが対象のWebアプリケーションのシステム設計やご依頼の背景をお伺いしたうえで、様々な診断サービスを組み合わせた最善のサービスを提案いたします。

基本サービス

  • Vexを使ったWebアプリケーション診断

※ Vexの詳細はこちらの製品詳細ページを確認ください

システム設計やご依頼背景に合わせたサービスを選択

オプションサービス

  • SinglePageApplicationに対する評価
  • 複雑な権限ロジックの確認
  • 認証認可連携や認証関連機能の評価
  • gRPCを用いたシステムの評価
  • 金銭やポイント利用におけるロジックの評価
  • GraphQLを用いたシステムの評価
  • APIを用いたシステムの評価
  • パスワードリセットの評価

※ OAuth2.0やOpenID Connect、SAMLにも対応

その他多数のサービスがありますのでご相談ください

Webアプリケーション診断サービスの内容について詳しく知りたい方はお気軽にご相談ください。

無料でセルフチェック

無料で相談する

サービス提供の実績と事例

既存のセキュリティベンダではカバーしきれない脆弱性に対応

お客様課題
既存のセキュリティベンダでは確認できなかった脆弱性が後から判明してしまった。

ユービーセキュアの対応
特に問題となっている「権限ロジック」に焦点を当てた診断を実施。脆弱性を潰しこみ、お客様はエンドユーザ様との信頼を回復。

網羅的な脆弱性診断をコスト効率良く実施

お客様課題
網羅的な脆弱性診断を希望しているが、コストが制限されている。

ユービーセキュアの対応
事前に対象システムのヒアリングや対象へのアクセスを行い、最も重要な機能に焦点を当てた診断を提案。この方式で全体的なセキュリティリスクを担保しながら、予算内で診断を実施。

認証機能の診断での手戻りを最小限に

お客様課題
重要情報を扱う為、認証機能の診断が必要だが、脆弱性があとで判明した場合の手戻りを最小限にしたい。

ユービーセキュアの対応
設計段階で認証設計を確認。その後OAuth2.0で求められるセキュリティプラクティスに基づいた評価を実施。結果、手戻りが少なく、お客様は無事にシステムをリリース。

サービスの流れ

まずは弊社にお気軽にお問い合わせください。弊社担当者が貴社の課題やニーズをヒアリングの上、診断対象範囲やスケジュールの認識合わせを行います。対象範囲やスケジュール、ご予算を基に最適な診断プランをご提案します。

Step1

弊社へのお問い合わせ

弊社への
お問い合わせ

Step2

貴社の課題・ニーズのヒアリング

貴社の課題・ニーズのヒアリング

最適な診断プランの
ご提案

Step3

ご契約

ご契約

準備

Step4

診断実施

診断実施

ご報告

前提条件

  • 本サービスはすべての脆弱性を見つけ出すことを保証するものではありません。
  • 本サービス遂行上生じた新たな発明、考案、著作物についての特許権、実用新案権、著作権、その他一切の知的財産権はすべて弊社に帰属します。
  • 本サービスは擬似的な攻撃を実施することで、セキュリティ対策状況を確認するため、不正アクセスとして検知されないよう、各部門とのご調整をお願いします。
  • 共同利用環境等、貴社管轄外リソースを使用されている場合、診断実施に関する許諾をお客様にて得ていただく必要がある場合がございます。
  • Webアプリケーション診断ではプログラムを実行したときの動作を解析する動的解析を行います。動的解析を行うためには正常な操作を実施する必要があるため、診断用アカウントの準備や必要なデータの登録などをご依頼しております。

診断報告書について

診断の成果物として、検出した脆弱性とその対策をまとめた報告書をご提供します。
開発・運用の現場でそのまま修正対応に活用できるよう、再現性と実務での使いやすさを重視した内容です。

ユービーセキュアの報告書の特長

再現手順がわかりやすい

saigen04

検出した脆弱性ごとに、画面キャプチャと指摘箇所を明示した再現手順を記載します。
開発担当者が手戻りなく事象を再現し、修正に着手できます。

システム特性に合わせた
指摘と説明

sample

画一的な定型文ではなく、対象システムの設計や実装に即して脆弱性の内容と対策を記載します。
総評では、システム仕様を踏まえた全体の所見と評価をお伝えします。

Excel形式の
検出脆弱性一覧を提供

summary03

検出した脆弱性の一覧をExcel形式でもご提供します。
修正状況を直接書き込んで修正計画に活用でき、指摘事項だけを素早く確認したい場合にも扱いやすい形式です。

Webアプリケーション脆弱性診断 診断項目

Webアプリケーションを対象に、次のカテゴリで脆弱性の有無を診断します。
カテゴリ 概要 主な脆弱性
不正なコマンドの実行 外部から与えられる入力値によって、意図しない命令や処理が実行されないかを確認します SQLインジェクション
クライアントサイドアタック ブラウザ上で動作する処理やコンテンツの取り扱いに起因して、利用者端末上で不正なスクリプト実行、画面改ざん、情報窃取、不正操作等が発生しないかを確認します クロスサイトスクリプティング
不要な情報出力 攻撃の足掛かりとなるような公開する必要のない情報が、画面表示、通信内容、エラーメッセージ、レスポンスヘッダ等を通じて露呈していないかを確認します プロダクト情報の露呈
システム設定の不備 通信設定、ブラウザ制御に関する各種設定が適切に実装されており、不正アクセスや攻撃の成功率を高める設定不備が存在しないかを確認します セキュリティヘッダの不備
アプリケーションのロジックの不備 アプリケーションの設計・実装に不備がなく、想定外の操作、不正な状態遷移につながる問題が存在しないかを確認します セッション管理不備/値の不正な改ざん
認証機能の妥当性 認証機能や認証情報管理の仕組みに不備があり、なりすましや不正ログインが行えないかを確認します 認証回避/パスワードの推測
クレジットカード情報の取り扱いの妥当性 クレジットカード情報が画面表示や送信時に不適切に露呈していないか、またサーバが不必要に情報を保持する設計となっていないかを確認します クレジットカード番号の露呈
アクセス制御の不備 適切なアクセス制御が実装されており、権限のない情報・リソースへアクセスできないかを確認します 権限詐称/ディレクトリトラバーサル

ご提供価格

【提供価格】
 個別見積り

【価格例】
 診断対象5画面程度:425,000円(税込 467,500円)~

本サービスは内容に応じた個別見積りとなります。
価格等・詳しい内容については、下記の問い合わせフォームからお問い合わせください。

Webアプリケーション診断サービスの内容について詳しく知りたい方はお気軽にご相談ください。

無料でセルフチェック

無料で相談する

よくある質問

Q1. 再診断は可能ですか?

はい、可能です。契約時に再診断有無をご選択いただけます。

Q2. 診断内容の選択は可能ですか?

はい、可能です。診断対象の特性や要件におうじて最適なプランをご提案いたします。詳細なメニューや項目についてはお問合せください。

Q3. 今後、自社でWebアプリケーション診断を実施できるような内製化支援は可能ですか?

はい、可能です。以下ページをご参照ください。

https://www.ubsecure.jp/in-house/vex

Contact us

  サービスに関するお問い合わせは、
  次のお問い合わせフォームよりお気軽にご連絡ください。

  ・採用に関するお問い合わせはこちら
  ・当社への営業希望の方はこちら