SERVICE
脆弱性診断サービス
システムに存在する脆弱性を洗い出し、サイバー攻撃を未然に防ぐ
日々新たな脆弱性が発見され、それを狙ったサイバー攻撃が高度化・巧妙化する中、
自社システムに存在する脆弱性を事前に把握し、適切な対策を講じることは、事業継続の観点からも重要な取り組みです。
IDRの脆弱性診断サービスでは、Webアプリケーション、OS、ミドルウェア、クラウド環境などを対象に、
実際の攻撃シナリオを想定した診断・テストを実施し、発見された脆弱性に対する対策提案まで一貫して支援します。
お客様の抱える課題
- 脆弱性診断の実施に必要な専門的な知識やリソースが不足している
- 自社システムに対して、どこまで・どの範囲を診断すべきか判断できない
- 診断後に発見された脆弱性への対応方針や優先順位付けが難しい
- 形式的な診断だけでなく、実際の攻撃を想定した実践的な安全性検証を行いたい
サービスの特徴
専門エンジニアによる網羅性と精度を両立した診断
- お客様の環境やシステム構成をヒアリングし、診断対象や範囲を最適に設計。 必要な診断ポイントを網羅したうえで、精度の高い診断を実施します。
組織内システムに潜む脆弱性を可視化
- オンプレミス/クラウド環境の双方に対応し、 Webアプリケーション、プラットフォーム、ネットワーク機器まで幅広く診断可能。 攻撃者視点でのペネトレーションテストにより、侵害リスクと到達可能範囲を明確化します。
システム特性を踏まえた対策提案まで一貫支援
- 診断結果は、発見された脆弱性の一覧にとどまらず、 システムの重要度や業務影響を踏まえた優先順位付け、具体的な改善提案を含めてご報告。 改善後の再診断まで含めた継続的なセキュリティ強化を支援します。
主な診断項目
IDRでは、Webアプリケーション/プラットフォーム/ペネトレーションテストを軸に、目的や対象範囲に応じた診断をご提供します。
Webアプリケーション脆弱性診断
OWASP Top 10等に準拠し、入力チェック不備や認証・認可の不備などを網羅的に検査します。
プラットフォーム脆弱性診断
OS/ミドルウェア/ネットワーク機器を対象に、既知脆弱性や設定不備を洗い出します。
ペネトレーションテスト
攻撃者視点で侵入可否・影響範囲を検証し、実害につながるリスクを評価します。
診断内容の詳細
Webアプリケーション脆弱性診断
OWASP Top 10 / OWASP ASVS 等に準拠
- 各種インジェクション(SQL/HTTPヘッダ/OSコマンド など)
- クロスサイトスクリプティング(反射型/格納型/DOM)
- クロスサイトリクエストフォージェリ(CSRF)
- 認証・認可の不備
- セッション管理の不備
- セキュリティ設定の不備
プラットフォーム脆弱性診断
OS / ミドルウェア / ネットワーク機器
- ポートスキャン(TCP/UDP/ICMP)
- 不要・デフォルトポート検査
- サービス/バナー検査
- DNS・ネットワーク設定不備
- セキュリティポリシー確認
- 既知脆弱性(Windows/Linux/UNIX)
ペネトレーションテスト
攻撃シナリオに沿った侵入検証
- 侵入可否・到達範囲・影響度の評価
- Webアプリ(ログイン/入力/API)
- ネットワーク(FW/DMZ)
- クラウド(AWS/Azure/GCP)
- 社内(VPN/Active Directory 等)
- ブラックボックス/グレーボックス
※診断項目・実施範囲は、お客様の環境・目的に応じて調整いたします。
導入フロー
STEP01|お問い合わせ・ご相談
お問い合わせフォームよりご連絡ください。
診断対象やお困りごと、セキュリティ状況をヒアリングし、支援の進め方をご説明します。
STEP02|診断範囲の整理・お見積り
システム構成や公開範囲、重要度などをもとに診断範囲を整理し、最適な診断内容とお見積りをご提示します。
STEP03|診断実施・速報連絡
専門エンジニアが診断を実施します。
重大なリスクが見つかった場合は、速報として速やかにご連絡します。
STEP04|結果報告・改善提案
診断結果を報告書にまとめ、改善優先度や具体的な対策案をご説明します。
また、オプションにて報告会でのご説明も可能です。
