【お知らせ】この度、当社の「善良なスクワッティング戦略(フィッシングテイクオーバー)」が、NIKKEI COMPASS、CNET Japan、ZDNET JAPAN、 産経新聞、東洋経済オンライン、NewsPicksを始めとする、24のメディア様にて掲載いただきました。 詳細を確認

ウェブサイト脆弱性診断サービス

Webサイトやアプリケーションの脆弱性を包括的にチェックします

ウェブサイトのセキュリティはビジネスの生命線

現代のビジネス環境では、ウェブサイトは企業の顔とも言えます。しかし、そのウェブサイトがサイバー攻撃にさらされると、企業の信頼は地に落ち、顧客データの損失による重大な経済的損害を招きかねません。SQLインジェクション、クロスサイトスクリプティング、データ漏洩は、ただの一例に過ぎません。これらは全て、あなたのウェブサイトの脆弱性を突くサイバー攻撃です。果たして、あなたのウェブサイトは安全でしょうか?

セキュリティ診断で安全なウェブ環境を

私たちのウェブサイト脆弱性診断サービスは、あなたのウェブサイトに潜む脆弱性を明らかにし、具体的な修正策を提案します。最先端のスキャン技術で、継続的にセキュリティを監視し、リアルタイムでの脅威検出を可能にします。私たちは、あなたのビジネスが直面する可能性のあるセキュリティの問題を理解し、それを解決するために専門知識を提供します。経験豊富な専門家チームが、あなたのデジタル資産を保護するための盾となり、ビジネスの信頼性と顧客の信頼を維持するお手伝いをします。

脆弱性診断サービスとは

search

Webサイトの主要な脆弱性を網羅的にチェック

Webサイトセキュリティに関する主要な要素である、HTTPヘッダー、サーバー、SSL/TLS、マルウェア感染、のセキュリティ状況を診断します。

laptop

使用するのは世界標準のツール

世界標準で使用される脆弱性診断ツールとペネトレーションテストツールを使用し、業界標準の調査項目をチェックします。

note

脆弱性の詳細と対処法についてのレポートを納品

脆弱性についての調査結果をまとめたレポートを最終的に納品します。問題の詳細と対処法を詳細に説明します。

診断項目サンプル

以下は診断項目の一部です。

Webアプリケーションの総合的なセキュリティ設定
  1. WAF(Webアプリケーションファイアーウォール)の有無
  2. クロスサイトスクリプティング(XSS)脆弱性
  3. SQLインジェクション 脆弱性
  4. CSRF(クロスサイトリクエストフォージェリー)脆弱性
  5. ディレクトリリスティングの有効化状況
  6. サーバーの種類とバージョンの露見
  7. サーバー所在地の露見
  8. 有効になっているHTTPメソッド
  9. Javascriptライブラリの脆弱性
  10. ウェブサイトのセキュリティ状態
  11. SSL暗号化の状態
  12. COOKIEのセキュリティ設定
  13. Cookieポリシーの有無と妥当性
  14. CMSの識別可能性と脆弱性
  15. Heartbleedの有無
HTTPヘッダーのセキュリティ設定
  1. ContentSecurityPolicyの有無
  2. Cookieの状態
  3. Cross-origin Resource Sharingの設定
  4. HSTS(HTTP Strict Transport Security)の設定
  5. リダイレクトの設定
  6. Referrer Policyの設定
  7. Subresource Integrityの設定
  8. X-Content-Type-Optionsの設定
  9. X-Frame_Optionsの設定
  10. X-XSS-Protectionの設定
SSL/TLSのセキュリティ設定
  1. SSL/TLSのセキュリティ状態
  2. SSL証明書の状態
  3. 暗号鍵の強度
認証画面関連のセキュリティ設定
  1. 管理画面への容易なアクセス
DDOS攻撃への脆弱性

詳しくはお問い合わせ下さい

既知の脅威に対するセキュリティの大幅な向上

脆弱性診断により、ウェブアプリケーションやシステムに存在する脆弱性やセキュリティの欠陥を特定することができます。これにより、攻撃者からの侵入やデータ漏洩などのリスクを最小限に抑えることができます。

OWASP TOP10などの代表的な脆弱性から、クライアントサイド及びサーバーサイドの脆弱性までを包括的に特定することができます。

GDPRやPCI DSSなどの法的コンプライアンス遵守において必須

近年GDPRやPCI DSSなどのセキュリティコンプライアンスの遵守が、ますます重要になっています。 脆弱性診断は、法的要件や業界の規制に準拠するための重要な手段です。特定の業界では、定期的な脆弱性診断が要求される場合もあります。診断結果に基づいてセキュリティ対策を実施することで、法的なコンプライアンスを遵守することができます。

ウェブサイトのQA(品質保証)として有効

セキュリティや脆弱性はウェブサイト・アプリ提供業者にとって品質を決める重要な属性です。脆弱性診断は製品の品質保証であり、セキュリティ問題を抱えた製品は不良品に例えられます。脆弱性診断はQAに相当し、製品の検査と修正を可能にします。

法的リスクや財務リスクなど様々なリスクマネジメントに有効

脆弱性診断を受けることは、顧客や利害関係者に対してセキュリティへの取り組みを示す重要な手段です。セキュリティに対する真摯な姿勢や検証された安全性は、信頼と評判を高める要素となります。

脆弱性診断により、セキュリティ問題が早期に発見されることで、修正のコストを削減することができます。また、セキュリティインシデントやデータ漏洩などのリスクによる経済的損失を予防することもできます。

非常に多くのウェブサイトが脆弱性を抱えているのが現状です。上場企業も例外ではありません。

日本の上場企業の公式サイトのHTTPレスポンスヘッダー脆弱性ダッシュボード」によれば、上場企業3833社中3016社のウェブサイトが、Mozilla ObservatoryにおいてFランク、であることがわかります。 Fランクを持つウェブサイトは、セキュリティに重大な問題があるため、攻撃やデータ漏洩のリスクが高まります。 セキュリティに関する最善の実践を実装し、適切なヘッダーの設定や他のセキュリティ関連の要素に対して注意を払うことは、ウェブサイトのセキュリティを向上させ、悪意ある攻撃からの保護を強化する上で重要です。

脆弱性ダッシュボードを見る

必要なものはURLだけです。お持ちのサイトの全ページを、包括的に脆弱性検査と特定を行います[1]。

ご用意いただくもの:サイトURL。以上です。

[1] 本サービスでは、基本的に1ドメイン=1サイトとなります。

大半のサイトが脆弱性を抱えています。これは深刻なセキュリティの問題を示しており、攻撃者による潜在的な被害のリスクが高まっています。

本当か?と思われるかもしれません。実際に試すのが一番早いです。お持ちのサイトの脆弱性スコアを確認してみて下さい。

まずはご自身のサイトを脆弱性スキャンにかけ、セキュリティレベルのチェックを行って下さい。MozillaObservatory[1]ではウェブサイトのセキュリティを多面的にチェックできます。無料です。

[1]Mozilla Observatory(モジラ・オブザヴァトリ)は、ウェブサイトのセキュリティとパフォーマンスを評価するためのツールです。Mozillaが提供しており、オープンソースで利用可能です。Mozilla Observatoryは、ウェブサイトのセキュリティ設定やベストプラクティスに関する情報を提供します。具体的には、HTTPSの使用状況、セキュリティヘッダの設定、クッキーのセキュリティ、クロスオリジンリソース共有(CORS)の設定などを評価します。

利用方法は、ウェブサイトのURLを入力するだけで使用する事ができます。評価結果は、A+からFまでのグレードや具体的な改善提案として表示されます。

Mozilla Observatoryのスキャン結果がD以下であり、WAF[1]が導入されていない場合、OWASPTop10[2]に代表されるサイバー攻撃脆弱性に対する対策が不十分です。攻撃を受けた場合、甚大な被害を許す事になります。

Mozilla Observatoryは、ウェブアプリケーションの脆弱性を評価するための優れたツールです。その結果がFランクであることは、重大なセキュリティ上の欠陥が存在していることを意味します。

しかもMozillaObservatoryはトップページのHTTPヘッダーセキュリティをチェックするだけで、トップページ以外のサーフィスウェブ上のページの脆弱性はチェックできませんし、サーバーサイドのセキュリティをチェックする事はできません。つまり、インジェクション攻撃やCSRF(Cross-Site Request Forgery)攻撃などの複雑な攻撃ベクトルやセキュリティ上の脅威を検出することはできず、そのためにはより専門化されたセキュリティツールや手法が必要となります。

即ち、包括的な脆弱性診断が必要です。ご不安なら一度ご相談下さい。

[1] WAF(Web Application Firewall)は、ウェブアプリケーションのセキュリティを強化するツールです。攻撃や脆弱性に対してウェブアプリケーションを保護し、不正なアクセスや攻撃を検知・防御します。WAFはウェブトラフィックを監視し、不正なリクエストや攻撃をブロックすることができます。SQLインジェクションやXSS、CSRFなどの攻撃からウェブアプリケーションを守る重要なセキュリティレイヤーとして活用されます。

[2]OWASP Top 10は、ウェブアプリケーションのセキュリティ上の脆弱性に関するリストであり、ウェブアプリケーションの開発者やセキュリティ専門家によって重要視されています。これらの脆弱性に対して適切な対策が取られていない場合、攻撃者はウェブアプリケーションに侵入し、機密情報の漏洩、改ざん、サービス停止などの被害を引き起こす可能性があります。

サービスの流れ

1 お申し込み

問い合わせフォームより「脆弱性診断サービス」をご選択頂き、お申し込み下さい。

担当者より折り返し連絡させて頂きます。必要情報についてお伺いします。

2 契約締結

NDAとサービス契約の締結

3 診断実施

お伺いした情報をもとに、対象サイトの診断を行います。

重大なリスクが発見された場合、その時点でご報告させて頂きます。

4 報告書の提出

診断結果を分析し、報告書として納品させて頂きます。

料金メニュー

通常プラン

275000 1サイト

診断放題プラン

カスタム / 月

年間契約プラン

カスタム

カスタムプラン

カスタム

今すぐ無料相談!ウェブサイト脆弱性診断サービスをお試しください。

FAQ - ウェブサイト脆弱性診断サービス

  • Q1. ウェブサイト脆弱性診断とは何ですか?

    ウェブサイト脆弱性診断は、サイトやアプリケーションのセキュリティ上の弱点(脆弱性)を特定するためのサービスです。脆弱性を網羅的にチェックし、SQLインジェクション、クロスサイトスクリプティング(XSS)、CSRFなど、攻撃に利用されるリスクを検出します。診断結果を基に、具体的な対策を提案します。

  • Q2. 脆弱性診断が必要な理由は何ですか?

    現代のウェブサイトは、サイバー攻撃のターゲットとなることが多く、脆弱性が放置されると以下のリスクを招きます:

    • 顧客データ漏洩:重大な経済損失や信頼の失墜に繋がります。
    • 法的リスク:GDPRやPCI DSSなどの規制違反のリスク。
    • SEOの悪影響:サイト改ざんや悪質なリダイレクトにより検索順位が低下。

    脆弱性診断は、これらのリスクを未然に防ぐ重要なプロセスです。

  • Q3. 診断では具体的に何をチェックしますか?

    以下の項目を含む、包括的な診断を行います:

    • Webアプリケーション:SQLインジェクション、XSS、CSRF。
    • サーバー構成:サーバーバージョンの露見、ディレクトリリスティングの有効化。
    • SSL/TLSセキュリティ:証明書の状態、暗号化の強度。
    • HTTPヘッダー設定:HSTS、CSP、X-Frame-Optionsなど。
    • Cookieセキュリティ:セキュリティ設定やポリシーの妥当性。

    これにより、攻撃者が狙う可能性のある全てのポイントを確認します。

  • Q4. 脆弱性診断はどのような方法で行われますか?

    私たちは、以下の方法で診断を実施します:

    • 業界標準のツール:世界で広く使用されるスキャンツールとペネトレーションテストツールを使用。
    • 自動化と手動の併用:ツールによる網羅的な検出と、専門家による手動検証を組み合わせます。
    • レポートの提出:診断結果を詳細にまとめたレポートを納品し、具体的な改善案を提案します。
  • Q5. 診断の結果はどのように活用できますか?

    診断結果は以下の形で活用できます:

    • 修正指針:脆弱性の具体的な修正方法が明示されます。
    • 法的コンプライアンスの証拠:GDPRやPCI DSSへの対応として診断結果を活用可能。
    • リスク低減:早期発見と対策により、サイバー攻撃のリスクを最小化。
  • Q6. 脆弱性診断の対象は何ですか?

    基本的に、以下が診断対象となります:

    • ウェブサイト全体:URL単位で包括的に検査。
    • サーバー:サーバー構成やセキュリティ設定の確認。
    • Webアプリケーション:特定の機能やAPIの脆弱性チェック。

    診断対象に応じて、最適なプランを提案します。

  • Q7. 脆弱性診断の料金体系はどのようになっていますか?

    以下の料金プランをご用意しています:

    • 通常プラン(1サイト):275,000円(税込)。
    • カスタムプラン:サイト数や診断頻度に応じた個別見積もり。
    • 年間契約プラン:定期的な診断でリスクを継続管理。

    詳細な料金については、お問い合わせください。

  • Q8. 脆弱性診断後、修正作業も依頼できますか?

    はい、可能です。当社では、診断結果に基づく修正支援も提供しています。WAF(Webアプリケーションファイアウォール)の設定やセキュリティポリシーの最適化など、具体的な対応策を実装します。

  • Q9. 診断に必要な情報は何ですか?

    ご用意いただくのは以下の情報のみです:

    • 診断対象のURL:全ページを対象に包括的にチェックします。
    • サーバー構成情報(必要に応じて)。 これだけで診断を開始できます。
  • Q10. 脆弱性診断を受けるとSEOにも影響しますか?

    はい、脆弱性診断によるセキュリティ強化は、SEOにもプラスの影響を与えます:

    • 安全性の向上:安全なサイトは検索エンジンからの評価が高まります。
    • 改ざんやマルウェア防止:サイトの信頼性が向上し、検索順位が下がるリスクを回避できます。

善良なスクワッティングサービス(フィッシングテイクオーバー)

再発防止のための新しい能動的サイバー防御手法:テイクダウンからテイクオーバーへ、ディフェンスからオフェンスへの転換

フィッシングサイトテイクダウン保証プラン

成功した場合のみお支払い頂く『完全成功報酬制』を年額保証プラン料金と組み合わせ、保証期間全域にわたりフィッシングサイトの発生に対応します。これによ…

公開情報調査(OSINT)サービス

最新のデジタルツールと専門知識を駆使して、企業のオンラインセキュリティとマーケットインサイトを強化します。公開情報の収集と分析を通じ、リスクを把握…

クラウドフレア導入支援サービス

ウェブサイトのセキュリティとパフォーマンスを最適化。クラウドフレアを専門的に設定し、攻撃から保護しながらサイト速度を向上。一貫したサポートで、安全…

「セキュアな」ホームページ制作サービス

最先端のセキュリティ対策で、安心のウェブサイトを実現します。当社のサービスでは、設計段階から徹底的な脆弱性テストを実施し、後から修正が難しいCSR…

フィッシングサイトテイクダウンサービス|即効性のあるフィッシング対策サービスでブランドを守る

フィッシングサイトの迅速な対応と無効化で、ブランドと顧客データを徹底保護。迅速対応&完全成功報酬制でリスクなし。今すぐお問い合わせください!