セキュリティ特集

Webセキュリティ気にかけてますか?

多くの組織で利用しているWebシステムですが、常に外部からの危険にさらされており、悪意のある攻撃により情報漏えいなどの大きな問題につながる可能性があります。Webセキュリティの特徴として、システム構築時に基本的な項目を気にかけることによって、ほとんどの攻撃を防ぐことができます。このため、システム構築時もしくはWebシステムを外部公開する前にWebセキュリティを診断することにより「早期発見」と「予防」が大切です。

Webアプリケーション診断

「早期発見」と「予防」には、Webシステムを検査し、「SQLインジェクション」、「クロスサイトスクリプティング」などの脆弱性を発見して報告する「Webアプリケーション診断」サービスを利用することを推奨します。このサービスは専門知識を持った認定脆弱性診断士(※)が、専用の診断ツールを用い診断しますので、定期的にサービスを活用し、適切な予防を行うことで、安全なWebシステムを運用することができます。

※認定脆弱性診断士は、情報システムの脆弱性診断に必要な技術やスキルを認定する民間の仕組みです。

Webアプリケーション診断のよくある質問

WAFを利用していたら、Webアプリケーション診断をする必要はないのでは?

WAFは一般的な文字列の攻撃をブロックするパターンマッチング型のシステムが多いです。このため、多くの攻撃を防ぐことはできますが、パターンにマッチしない攻撃は防ぐことができません。

Webシステムはめったに改修しないので、一度診断すればよいのでは?

頻度はそれほど多くありませんが、Webアプリケーションの脆弱性をついた攻撃は日々進化しております。改修のタイミングもしくは1年に1回程度の診断を推奨します。

LGWANなどのクローズな環境で利用しているのでセキュリティは気にしなくてもよいのでは?

クローズな環境でも内部に悪意のある攻撃者が一人でもいれば攻撃は可能です。どのような環境でも情報漏えいなどの危険に備えるため、Webセキュリティを意識することを強く推奨いたします。

両備システムズのWebアプリケーション診断

サービス概要

Webアプリケーションの各機能の脆弱性をチェックする診断です。
Webアプリケーションのログイン画面や入力フォームに脆弱性がないかどうか、専用の診断ツールに加えて、ツールで検出できない脆弱性や検出することが困難な脆弱性については弊社診断エンジニアが手動で診断いたします。IPA (独立行政法人情報処理推進機構)が発行している「安全なウェブサイトの作り方」及びOWASP Top10 2017で挙げられている項目を含む弊社オリジナルの診断項目で診断いたします。発見した脆弱性は、報告書にまとめて納品いたします。

診断の流れ

弊社診断を行うにあたり、お客様からの事前申し込みを受け、診断ヒアリングシートのご提出をお願いしております。その後、診断日程を決め実際の診断を行い、レポートの提出となります。

Sec-diag-flow.jpg