Webアプリケーションの脆弱性診断を受けたいが・・・

企業にとってWebアプリケーションはビジネスにおいて欠かせないものです。

その一方でWebアプリケーションの脆弱性を悪用された侵入被害、設定や運用の不備を突かれた情報漏えい等が日々報告されています。インターネットに公開されているシステムは攻撃に晒されやすい状態にあり、脆弱性が悪用された場合には大きな被害をもたらしたり、企業の信用を失墜させる要因となってしまうおそれがあります。

本サービスは企業Webサイト全体に対する脆弱性診断を短期間かつ固定金額でご提供できるため、これまで脆弱性診断を実施されていない企業様や、まもなく商品ページなどのWebサイトのリリースを控えた企業・団体様の課題を解決します。

Webアプリケーション脆弱性診断エクスプレスをご利用いただくことで、お客様はWebアプリケーションを安全に提供いただくことができます。

Webアプリに脆弱性が生じる理由を紐解きつつ、脆弱性への対処方法についての解説記事はこちらをご覧ください。

Webアプリの脆弱性診断における、見落としがちな注意点については、こちらの記事をご覧ください。

1. シンプルな料金体系

• ページ数や画面遷移数ではなく、FQDNに応じた安心の固定料金です
• 夜間の診断も追加料金が発生しません

• 次のようなお悩みを抱えられている企業におすすめ
• 脆弱性診断を受けたいが、Webサイトのページ数やページ遷移数が多く、診断コストが予算内に収まらない
• WebサイトのPDCAサイクルが速く、脆弱性診断を高頻度で受けたいが、1回あたりの診断コストが高い
• Webサイトへのアクセスが少ない夜間に脆弱性診断を実施したいが、追加料金を払いたくない

2. Webサイト全体を対象に、高精度な診断が可能

• 高速で高精度な作業を得意とするAIがWebサイトの全ページを対象に、リンクやフォームボタン、画面遷移動作などを検出し、脆弱性診断が必要なページを選定します
• 脆弱性診断ツールによって、診断対象のページから脆弱性を検出し、サイバー攻撃や高度な診断技術を有する有識者が診断結果を精査します

• 次のようなお悩みを抱えられている企業におすすめ
• 脆弱性診断を受けたいが、Webサイトのページ数やページ遷移数などの詳細を把握できていない
• Webサイトを公開、リニューアルする予定だが、脆弱性診断を実施していない
• 社内のセキュリティ体制に課題を抱えており、脆弱性診断について有識者の助言が欲しい

3. お見積もりまで最短5営業日

• お見積に必要な情報は、診断対象のWebサイトのFQDNや診断希望時期など
• 診断要件の策定に時間や労力をかける必要はありません

• 次のようなお悩みを抱えられている企業におすすめ
• 脆弱性診断の見積条件を定義のために、開発会社への確認や、Webアプリの機能確認に時間がかかる
• 脆弱性診断のための予算確保を急ぐ必要がある
• 残予算で脆弱性診断を実施できるか判断したい

4. 高精度・高品質な診断結果を最短10営業日でご報告

• 診断結果をまとめた報告書を短期間で提出できます
• 対策検討や改修のために時間を確保できます
• Webアプリケーションのアップデートサイクルが速い開発・運用現場においては、より安心・安全性を高める目的で、テストフェーズにおいて本サービスを繰り返しご利用いただいています

• 次のようなお悩みを抱えられている企業におすすめ
• システムリリースを控え、短期間で脆弱性診断の結果を得たい
• セキュリティ監査のために、脆弱性診断の実施期日が迫られている

5. サイバー攻撃や高度な診断技術を持つセキュリティ有識者が診断結果を精査

• 有識者が診断ツールで検出された脆弱性を精査し、誤検知・過検知を排除します
• 脆弱性の概要と想定リスク、対策などを記した診断結果をご報告します

• 次のようなお悩みを抱えられている企業におすすめ
• セキュリティの有識者から、脆弱性対策の助言が欲しい
• お取引先様や監査企業、社内関連部署への説明に、第三者による脆弱性診断が求められている
• 診断結果から、必要に応じてプラットフォーム診断やペネトレーションテストなども検討したい

Webサイト全体から診断対象の選定から実施期間、報告書提出までの各工程を短期間で完了できる点が、本サービスの優位点であり選ばれる理由になります。

以下は本サービスと一般的なWebアプリケーション脆弱性診断との比較になります。

業種を問わず様々な企業にWebアプリケーション脆弱性診断エクスプレスをご利用いただいています。ここではお客様からいただいた本サービスへの口コミをご紹介します。

● 化粧品業様 – システム管理部門 – ECサイトご担当者様

• 複数のWebサイトを運営しており、これまでも脆弱性診断は定期的に実施していたが予算の問題もありWebサイトごとの優先度付けが課題となっていた
• FQDNあたりの価格で予算化がしやすく計画が立てやすかった

● 製造業様 – 情報システム部門 – ECサイトご担当者様

• Webアプリケーションの機能追加の頻度が高く、複数の開発会社が関わるため脆弱性診断の準備の手間が大きいという課題があった
• 本サービスの診断では準備前に開発会社に確認することもなく、診断結果も分かりやすかったため短期間で完了できて良かった

● ITサービス業 – 情報システム部門 – コーポレートサイトご担当者様

• Webサイトの全面リニューアルを控えており、短期間で全コンテンツの脆弱性診断を終えることができた
• Webサイトの作成には多数の開発メンバーが関わっており、脆弱性診断をサンプリングではなく網羅的に行えたことは大きな安心感につながる
• 今後も定期的に利用したい

● 診断内容と成果物

• 診断対象のWebサイトにつき、1回の脆弱性診断を実施
• 脆弱性の有無と概要、想定されるリスクや対策を記した報告書を提出

● 料金体系

• FQDN数に応じた固定料金
• 夜間の実施も固定料金に含む

診断項目や料金などの詳細が記載された資料については、以下よりダウンロードいただけます。

● お見積もりまでの流れ

1. 本ページの「お申込み」フォームから、診断対象のWebサイトのFQDN情報などをご連絡いただきます
2. 弊社の担当営業がお申込内容を確認します
3. お見積もりをご提出します

● 診断結果のご報告までの流れ

4. AIが診断対象のWebサイトの全ページを確認し、リンクやフォームのボタン、画面遷移動作などの検出結果より、診断対象とするページを選定します
5. 診断ツールを用い脆弱性を検出します
6. サイバー攻撃や高度な診断技術を持つセキュリティの有識者が脆弱性の検出結果を精査します
7. 脆弱性の有無と概要、想定されるリスクや対策を記した報告書を提出します

● 診断対象サイトについての制限はありますか？

• インターネットからアクセス可能なサイトのみが対象となります
• イントラや非公開サイトの診断はできません
• 下記の条件のサイトは診断対象外です
• 多要素認証が必要なサイト
• クライアント証明書が必要なサイト
• Basic認証、フォーム認証以外が必要なサイト
• 人間の知覚が必要な認証（CAPTCHA等）があるサイト

● Webブラウザの制限はありますか？

• Chromeに対応しているサイトが対象となります

● 診断単位はFQDNということですが、診断対象のWebサイトのリンク先に異なるFQDNがあります。この場合、診断可能ですか？

• 診断ツールが巡回する際にリンク先の異なるFQDNを検出した場合には、そのリンク先は診断対象外となります

● 診断対象サイトは本番環境ですが、診断をするにあたって問題はありませんか？

• 本番環境の診断を実施することは可能です
• サイトに対する負荷の懸念がある場合には、夜間帯の実施を推奨いたします
• 性能や動作、サイト利用の支障を懸念される場合は、検証環境または開発環境で診断実施することを推奨いたします

● 本番環境に対して診断をする場合の注意事項はありますか？

• 本番環境の場合、情報の登録・更新・削除などの操作により業務影響の生じる機能については診断対象外とさせていただきます
• 例：申し込みフォームで入力された情報を運用者の方がメールなどで通知を受け取っている場合に、診断中に大量の通知が発生します

● 検証環境にアクセスするためには認証が必要ですが対応できますか？

• Basic認証に対応しています。事前にアクセスのためのIDとパスワードをお知らせください

● 診断サイトへの負荷はどのくらいになりますか？

• 通常、約20リクエスト/1秒程度の送信が発生します

● 日本語、英語のフォームに対応していますか？

• 日本語、英語に対応しています