service

Web脆弱性診断

  1. HOME
  2. サービス内容
  3. Web脆弱性診断
WEBサイトのセキュリティの脆弱性を攻撃者の立場から見て診断します。

「WEB脆弱性診断」を受けてみませんか?
WEBサイトのセキュリティの脆弱性を攻撃者の立場から見て診断します。

セキュリティに精通したエンジニアがインターネット経由であなたの企業のサイトのセキュリティ脆弱性を「攻撃者」の立場から見て
診断します。ツール導入だけでは見つかりにくいセキュリティの穴を見つけて、効率良く確実に対策を行えます。

サイトのセキュリティの脆弱性が心配…という方へ

  • サイトのお客様情報など、個人情報が流出したらどうしよう…
  • 「なりすまし」に遭って、企業の信頼を落としたくない…
  • お客様や取引先に迷惑をかけたくない…
  • ウイルスは、メールよりもサイトからの感染が増えているって本当…?

セキュリティソフトなどで対策をしても、Web攻撃の不安が残るのはなぜでしょうか?
それは、攻撃者の目線から見た時、自社システムがどう映っているのかが分からないからです。セキュリティソフトによる対策はどうしてもプログラム目線での対策に留まるため、悪意あるハッカーの動きを完全には読み切れないことがあります。

うちの会社の危険度はどのくらい? 機密情報が漏れないか心配… セキュリティ強化って、具体的に何をしたらいいの?

そんな時、「WEB脆弱性診断」ならシステムと人の目のハイブリッドで危険を予測。
セキュリティの不安を払拭することが可能です。

「WEB脆弱性診断」とは

WEB脆弱性診断」とは、セキュリティに精通したエンジニアが「攻撃者」に代わって企業のセキュリティの穴を見つけて危険度を診断、改善の提案を行うサービスです。従来のセキュリティソフトでは実現しにくい攻撃者目線のアプローチで、実践的なセキュリティ対策が可能になります。診断はすべてWEB上で行うので、簡単に導入することができます。「WEB脆弱性診断」はバルテス株式会社のサービスです。

「WEB脆弱性診断」の仕組み

要件定義を行う意義・目的とは

セキュリティ技術者が診断サーバーを使用して、リモート攻撃の実行可能性を診断します。

エンジニアがツールと手動の両面から疑似攻撃を仕掛けることで、「データベース内の重要情報を盗むことができるか」、「サイトが改ざんに耐えられるか」といった検証を行います。従来のツールのみによる診断ではなく、人の目でも不正アクセス等の実現可能性をチェックすることで、より実践的なセキュリティ危険度を把握することができます。

WEB脆弱性診断が選ばれている3つの理由

「診断するだけ」ではないので、選ばれています。

ツールと人の目の<br>ハイブリッド診断だから

ツールと人の目の
ハイブリッド診断だから

今までになかった攻撃者の目線が加わることで、より緻密な検証が可能になりました。

リスクの対策方法の詳細を<br>まとめた報告書付きだから

リスクの対策方法の詳細を
まとめた報告書付きだから

危険度を診断したところで改善策がなければ意味がありません。そこで、診断を担当したエンジニアがセキュリティの穴を埋めるための対策をご提示致します。診断→対策→再診断を行うことで、確実に脆弱性の問題を解決します。

1年間の「サイバーリスク保険」が<br>無料で付帯されるから

1年間の「サイバーリスク保険」が
無料で付帯されるから

WEB脆弱性診断を受けた後には、東京日動火災保険株式会社の「サイバーリスク保険」が1年間無料で提供されます。最大1,000万円までの保障によりさらなる安心を得ることができます。

WEBセキュリティに関して「これ一つで安心」という充実した内容のため、多くの企業様に支持されています。

WEB脆弱性診断の特徴

3つの危険度+注意項目が分かる

危険度のレベルが分かるので、対策の優先度を正しく判断することができます。

危険度High(高)Medium (中)Low(低)注意事項
内容攻撃を受ける可能性が高く、
被害を被った時の規模、
金額も大きい項目。
攻撃を受ける可能性が高い、
または被害が大きいことが
予想される項目。
攻撃される可能性が低く、
被害規模も小さい項目。
注意しておいた方がよいこと。

目的に応じて選択可能な3つのプラン

ツールを活用して高速チェックを実現するクイック診断、ツールとホワイトハッカーによる手動診断を組み合わせたベーシック診断、ベーシック診断の中で特に検出率・危険度が高い項目に絞って診断を実施するトライアル診断がございます。大量のページをまとめて診断したい、徹底的に診断がしたい、リスクの高い部分だけでも専門家に見てほしい…などご希望に合った使い方が可能です。

プラン名クイック診断ベーシック診断トライアル診断
特徴ツールを用いて高速でチェックを行います。(診断結果についでは診断員が精査、ご報告)全体をくまなくチェックします。全体をくまなくチェックします。ホワイトハッカーによる手動診断(疑似攻撃)とツール診断を組み合わせ診断します。手軽に専門家に依頼するベーシック診断の内、検出率・危険度が高い項目に絞り実施する、お試し診断メニューです。
診断項目一般的な脆弱性を網羅。(一部手動でないと検出できな項目は検出なし)一般的な脆弱性に加え、ツールで検出困難な承認・認証といった項目を診断。検出率・危険度が高い項目
診断範囲診断員がシステムを確認して策定診断員がシステムを確認して策定規定のページ数内にて策定
おすすめの方ページ数が多い。高速で診断したい。診断にかかる費用を抑えたい方。全体を隅々までチェックしたい方。ログイン認証など複雑な機能のあるサイト。はじめてご依頼いただくベーシックの
お試しとして。

1案件1担当制

一人のエンジニアが担当制で検証を行い、報告書の作成を行います。さらに、診断結果についてのQRサポートを受けたり、必要に応じて修正対応や再診断を承ることも可能です。決まった担当者がサイトの安全性を責任を持って診断し、お答えするので安心です。

サーバーのセキュリティリスク診断も可能

自社サーバーで運用しているWebシステムについては、サーバーのセキュリティリスクについても合わせて検証し、ご報告します。

高品質なセキュリティ診断報告書

危険度の診断だけでなく、今後どう対策したらよいかという詳細を記した報告書を得ることができます。また、必要に応じてエンジニアから直接報告内容の説明を聞いたり、対処を依頼する、再診断を依頼するといったこともできますので、診断だけで終わるのではなく課題解決を行えます。

診断実績

1,000件以上の診断を行った結果、全診断の約78%でリスク高の脆弱性を検出しています。

業種サイト代表機能診断量診断レベル
(高)
診断レベル
(中)
診断レベル
(低)
大手OA系商社社内受発注
システム
ユーザー管理503(2)3(2)3(2)
医療関係会社Web問診
システム
受診者情報管理802(2)2(2)2(2)
物流関連会社請求書発行
システム
ユーザー管理253(2)3(2)3(2)
大手OA系商社社内受発注
システム
ユーザー管理502(2)2(2)2(2)
医療関係会社Web問診
システム
受診者情報管理803(2)3(2)3(2)

業種・サイトタイプ関係なく、数多くのお客様にご利用いただいております。

1年間無料「サイバーリスク保険」の内容

東京海上日動火災保険株式会社の「サイバーリスク保険」とは、不正アクセスやサイトの改ざんなど、サイバーセキュリティ事故が発生した際に支払われる保険です。被害を被った場合、損害賠償責任を負うことになるだけでなく、被害調査やデータ復旧といった事故対応の費用もかかるため、備えがあると安心です。当商品では最大で1,000万円までの支払いに対応することができます。(すでに自社で他のサイバーリスク保険にご加入中の場合はそちらが優先となります。)

料金のご案内

クイック診断

基本料金¥200,000~10リクエスト分のセット料金となります
追加料金¥20,0001リクエスト分の料金となります。
報告会料金¥150,0001回開催する場合の料金となります

※リクエストとはhttp,https通信の発生する箇所です。
※リモート環境からの診断となります。オンサイト診断の場合、別途御見積とさせて頂きます。

ベーシック診断

プラン名エントリープランスタンダードプランプレミアムプラン
リクエスト数10リクエスト~50リクエスト~75リクエスト~
料金(税抜)¥400,000~¥1,280,000~¥1,920,000~
プラットフォーム診断有償
1IP  ¥100,000
2IP以降¥50,000/IP
1IP分 無料
2IP以降¥50,000/IP
2IP分 無料
3IP以降¥50,000/IP

オプション

追加料金¥30,0001リクエスト分の料金となります
再診断料金無料Medium以上について無料再診断を行います
報告会料金¥150,0001回開催する場合の料金となります。

※リクエストとはhttp,https通信の発生する箇所です。
※リモート環境からの診断となります。オンサイト診断の場合、別途御見積とさせて頂きます。
※プレミアムは診断項目の7割が24時間診断可能であることが条件となります。

トライアル診断

基本料金¥200,00010リクエスト分のセット料金となります
報告会料金¥150,0001回開催する場合の料金となります

※リクエストとはhttp,https通信の発生する箇所です。
※リモート環境からの診断となります。オンサイト診断の場合、別途御見積とさせて頂きます。

WEB脆弱性診断の流れ

WEB脆弱性診断の流れを簡単にご紹介します

診断前準備

診断前準備

診断の対象とするサイトや、診断日時を決定したら、準備を進めていきます。
以下については、お客様自身で作業が必要です。

  • 画面遷移図などのサイト情報の提供(ない場合は作成します)
  • 診断用アカウントの作成(認証がある場合のみ)
  • ヒアリングシートの記入
  • 診断用IP適用
  • バックアップの取得

診断

診断

当日になったら、リモートで診断を実施します。診断員よりご担当者様に診断時間をお伝えします。
もし、重大な脆弱性が発見された場合には緊急報告書(速報)をご提供します。

報告

報告

診断報告書の提出により、診断結果をお知らせします。オプションでご希望の方には診断員による診断報告会を実施します。

アフターサポート

アフターサポート

診断後、診断報告書についてのQRサポートを実施します。
発見された脆弱性に対する再診断を行います。(プランによっては無償/有償)