​脆弱性診断サービス

ホワイトハッカーが

攻撃者の視点で様々な疑似攻撃を行い、潜在的な脆弱性の有無を診断。

本サービスでは、お客様が公開されているスマートフォン向けのアプリケーションや、ご利用されているWebアプリケーション、またサーバやネットワーク等のプラットフォームに対し、ホワイトハッカーが攻撃者の視点で様々な​疑似攻撃を行うことで潜在的な脆弱性の有無を診断し、適切なセキュリティ対策をご支援します。

また、お客様のWebシステム等の運用に影響が発生しない方法をご提案いたします。

「IT環境を守ること」は、

「企業・組織を守ること」。

今では、スマートフォン向けのアプリケーション、Webアプリケーション、プラットフォームは企業や組織を運営する上で非常に大きな役割を担っており、ビジネスに不可欠な存在です。

一度、改ざんや情報漏えいなどの被害が発生すると、サービス停止や顧客への補償等、事業に直結する影響を受けかねません。

​KEY PERSON「ホワイトハッカー」

​当社メンバーは、中央省庁や大手企業様のサイバーセキュリティを支援、アドバイザーとして活動していたホワイトハッカー集団です。妥協せず、お客様の安心を追求します。

​サイバー攻撃は無くならない

攻撃者の目的の大半が「ビジネス」です。

企業規模・機密情報の有無に関係なく幅広い企業が攻撃対象となっている中、

特にスマートフォン向けのアプリケーション、Webアプリケーションやプラットフォームへのセキュリティ投資は敬遠されがちです。

そのため、容易に攻撃できる脆弱なアプリケーションやプラットフォームなどが乱立し

サイバー攻撃は今後も増え続けるとされています。

​スマートフォンアプリケーション脆弱性診断

スマートフォンもPC同等の

​セキュリティ対策が必須

​スマートフォンの普及が急激に進み、今後はPC向けインターネットサービスよりもスマートフォン向けサービスの利用が増えていくとされています。

その為、スマートフォンアプリケーションを活用したマーケティングに合わせたセキュリティ対策が必要となっています。

​診断内容

​弊社のホワイトハッカーがiOSやAndroidアプリなどのスマートフォンアプリケーションの脆弱性を、JSSECやセキュアコーディングガイドやOWASPMobile Top10に基づき調査します。

​診断方法

​リバースエンジニアリングしたソースコードから脆弱性を調査します。またアプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。

​スマホアプリの問題点やリスクを見える化することにより

インシデント発生時に、適切な対応を行うことができます。

​スマホアプリ診断項目

​Androidアプリ脆弱性診断

iOSアプリ脆弱性診断​

​通信

​端末内

​データ

ロジック

​ソースコード

・不正通信の確認

・重要情報の送信方法

・SSL/TLS証明書検証​

・重要情報の保持方

・データ改ざんによる不正行為

・バーミッションの設定不備

・SDカードの重要情報の出力

​・ログへの重要情報の出力

・コンテントプロバイダのアクセス制御不備

・インテントによる重要情報の出力

・Web View関連の脆弱性の有無

・耐タンパー性の確認

・ソースコードへの重要情報の出力有無

・通信プロトコルの解析

・ロジック改ざん

​・リバースエンジニアリングによる脆弱性解析

・不正通信の確認

・重要情報の送信方法

・SSL/TLS証明書検証​

・重要情報の保持方

・データ改ざんによる不正行為

・Web View関連の脆弱性の有無

・耐タンパー性の確認

・ソースコードへの重要情報の出力有無

・通信プロトコルの解析

​・リバースエンジニアリングによる脆弱性解析

​Webアプリケーション脆弱性診断

​診断内容

​弊社のホワイトハッカーや脆弱性診断チームが

OWASPMobile Top10に準拠した診断項目に対し様々な疑似攻撃を試行・分析することによってWebアプリケーションに潜む脆弱性を診断します。

​診断方法

​各種診断ツール(Nexpose等)とハンドオペレーションによる診断を行い、ネットワーク経由で攻撃者からどのような脆弱性を悪用されるかを調査します。

​プラットフォーム脆弱性診断

​診断内容

​弊社のホワイトハッカーや脆弱性診断チームが様々な疑似攻撃を試行・分析することによってOS/ミドルウェア/NWに潜む脆弱性を診断します。

​診断方法

​各種診断ツール(Nexpose、Nessus等)とハンドオペレーションによる診断を行い、ネットワーク経由で攻撃者からどのような脆弱性を悪用されるかを調査します。

​診断の流れ

​診断事前準備

​STEP1:概算見積日程調整

・お見積りに必要な情報とご希望

​ スケジュールのご提供(お客様)

​STEP2:正式見積

・Webアプリ診断の場合はWebアプリ

 情報のご提供(お客様)

​・概算金額とご提供頂いたスケジュール

​ での対応可否を確認(eGIS)

​・ご提供頂いた情報をもとに対象数を

 調査(eGIS)

​STEP3:事前準備

​・注意事項・ヒアリングシートのご連絡

(eGIS)

・注意事項のご確認・ご対応

​ ヒアリングシートのご記入(お客様)

​診断実施・ご報告

​STEP1:診断実施

・緊急時のご対応

 システムに関する質問へのご対応

(お客様)

​・診断の実施(eGIS)

​STEP2:報告書

​・報告書の作成・提出(eGIS)

・報告書を納品物としてご検収

​ 検出された脆弱性への対応(お客様)

​STEP3:再診断(オプション)

・緊急時のご対応

・システムの関する質問へのご対応

​ (お客様)

​・対策の有効性の確認(eGIS)