コンテンツへスキップ

Webアプリケーションのセキュリティを評価するテストです。

専門家が潜在的な脆弱性を特定し、Webアプリケーションを疑似攻撃し、攻撃目的を達成できるか検証します。

これには、SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどの一般的な攻撃手法が含まれます。

Webアプリケーションのセキュリティ向上

Webアプリケーションを安全に運用するために

Webペネトレーションテストでは、ネットワーク、システム、ソフトウェアなどに存在する脆弱性を確認するため、専門家が悪用される可能性のある攻撃手法を模倣して疑似攻撃し、攻撃目的を達成できるか検証します。
お客様の了承を得た上で、さまざまなハッキング技術やツールを使用して疑似攻撃し、セキュリティの回避や無効化を試みながら、システム内部に侵入できるかどうかをテストします。Webペネトレーションテストによって、システム全体の脆弱性や情報漏洩の可能性などを検証できます。
近年、サイバー攻撃の手法は多様化し、システム全体に定期的なペネトレーションテストを行う重要性が増しています。 常に巧妙化するサイバー攻撃に対処するために高度な知識を持つ経験豊富な専門家によるWebペネトレーションテストが必要です。

脆弱性の特定と対策

Webペネトレーションテスト実施後、発見された脆弱性の詳細なレポートを提出し、それらの脆弱性がどのように悪用されるかを説明します。さらに、脆弱性を修正する具体的な対処方法やベストプラクティスを記載しているのでそれらの対策を講じることでセキュリティを強化することできます。また、ハッカーが使用する一般的な攻撃手法やテクニックに関する情報が記載されているので、開発者やネットワークセキュリティやリスク管理に携わるチームにとって貴重な資料となります。

経験豊富な専門家が検証

高度な専門知識を持つ経験豊富な専門家がモバイルアプリの開発や運用に関するセキュリティポリシーやベストプラクティスの実装状況を検証し、セキュリティを強化する対策を提案します。
最新のセキュリティ基準を保っているか確認できるので、サイバー攻撃で被害を受ける可能性を軽減できます。

セキュリティ強化できるレポート

Webペネトレーションテストの結果を総括したレポートを提出します。 発見された脆弱性のリスクの深刻度や成功した攻撃の分析と具体的な対策案などセキュリティを強化するために必要な項目が揃っています。

Webペネトレーションテストの方法

正確な検証と分析をするために、Webペネトレーションテストは綿密な計画を立ててから実施します。
Webペネトレーションテストを実施する前に、お客様と打ち合わせをして、主に下記の項目を明確に決定します。
  • テストを実施するアプリケーション、ドメイン
  • テスト実施の除外範囲 (特定のページ、サブドメインなど)
  • テスト実施期間の決定とタイムゾーンの確認
弊社の専門家チームが無数のOSINT (Open Source Intelligence) とOWASP Top 10ツールと専門的な技術を使用して、テスト対象について可能な限り多くの情報を収集します。収集したデータは組織の運営状況を理解するのに役立ち、Webペネトレーションテストで発見されたリスクの深刻度を正確に評価できるようになります。対象となる情報は主に下記の項目です。
  • Google によって流出した PDF、DOCX、XLSX、およびその他のファイル
  • 過去の侵害、認証情報漏洩
  • アプリケーション開発者によるフォーラム投稿の公開
  • robots.txt ファイルの公開
弊社の専門家チームは自動化されたスクリプトとツールを使用し、さらに専門的な情報を収集して、想定される攻撃手法を綿密に調査します。主に下記の項目を収集します。
  • ディレクトリ・サブドメインの列挙
  • クラウドサービスの構成ミスの可能性を確認する
  • 既知の脆弱性とアプリケーションおよび関連サービスの関連付け
慎重に検討した上で、Webアプリ内で見つかった脆弱性への攻撃を開始します。事前調査で発見した攻撃手法を確認しながら、アプリケーションとそのデータを保護するために慎重に行われます。Webペネトレーションテストでは下記のような疑似攻撃が実行される可能性があります。
  • SQLインジェクションやクロスサイトスクリプティング
  • 認証メカニズムに対する侵害された認証情報とbrute force toolsの使用
  • Webアプリの機能を監視して、安全でないプロトコルと機能を検出する

  • ※SQLインジェクション:WebサイトやWebアプリケーションの脆弱性を利用して不正なSQL文を注入・実行させ、情報の窃取やデータ改ざんなどを行うサイバー攻撃
    ※クロスサイトスクリプティング:Webアプリケーションに悪意のあるスクリプトを埋め込んだページやリンクなどを用意しておき、ユーザーをそのリンクに飛ばすことで脆弱性のあるWebサイトからユーザーの情報を抜き取る攻撃
    ※brute force tools:ブルートフォース攻撃。主にパスワードを特定する際に用いる。文字の組み合わせを全て試す総当たりで攻撃対象の暗号解読や認証情報を特定する手法。
テスト実施後、Webペネトレーションテストの結果を総括したレポートを提出します。
発見された脆弱性の詳細なレポートを提出し、それらの脆弱性がどのように悪用されるかを説明します。さらに、開発者や運用チームにとって貴重な、脆弱性を修正する具体的な対処方法やベストプラクティスを提供します。
レポートではさらに、テスト過程や弊社の専門家チームの修復手順など、各脆弱性を技術的に詳細に分析して、修復プロセスを簡素化することで、お客様が実施しやすい簡易なセキュリティ強化対策を提案しています。
ご希望があれば、お客様が脆弱性への対策を実施した後、弊社の専門家が再テストします。
適切に対策ができているか、脆弱性が排除されているかを確認します。

Webペネトレーションテストの主なテスト項目

認証セキュリティ診断

破損したオブジェクトレベル認証診断

破損した認証診断

破損したオブジェクトプロパティレベル認証診断

制限されていないリソース消費診断

制限されていないリソース消費診断

破損した関数レベルの認証診断

機密ビジネスフローへの無制限アクセス診断

サーバー側のリクエスト偽造診断

セキュリティの誤構成確認

不適切なインベントリ管理

安全でないAPIの利用診断

複雑でカスタマイズ可能な攻撃シナリオ診断

脆弱性を狙う巧妙な攻撃

高度な偵察

ゼロデイ脆弱性診断

高度な回避技術/バイパス技術

高度持続型攻撃のシミュレーション

シナリオベース診断

総合的なレポート