セキュリティ・データ保護(脆弱性評価)の依頼・外注

弊社の強み
業界唯一の品質保証制度
高リスクの脆弱性が1件漏れた場合、プロジェクト料金の50％を返金
高リスクの脆弱性が2件漏れた場合、全額返金
豊富な経験と実績
診断チームは平均15年以上の経験を持つホワイトハッカーで構成
短納期対応
数百ページのサイトも最短1週間で診断完了可能
手厚いサポート
2回の無料再診断を提供し、保証期間は1年間
魅力的な価格設定
業界最安水準の外部委託価格
パラメータ制限なし・基本料金なし
1ページからの外部委託も可能
豊富な導入実績
メガバンク、製造業、大手EC、大手インターネット企業、Disneyなど
東証プライム市場上場企業の下請け案件も多数対応
提供サービスおよび製品ラインナップ
WEB脆弱性診断およびペネトレーションテスト
ネットワーク診断
モバイルアプリ脆弱性診断
レッドチームサービス
API診断
ソースコード診断
AI・IoT機器を含むファームウェア診断・ペンテスト
組み込み機器の診断
フォレンジックサービス
標的型メール訓練システムの提供・構築
CDN・Cloud WAF・DDoS対策サービス
WEB脆弱性診断ツールの提供

• AWS環境を構築したものの、リリースするにはセキュリティが不安。という方に向けたパッケージとなります。

• Security HubというAWSのサービスを利用して、その結果をもとに推奨する是正一覧でお伝えします。

• 是正一覧は、エクセルファイルを想定しています。

• システム要件を踏まえて、是正一覧に対してお客様にて是正要否を判断頂きます。

• ベーシックとスタンダードでは、是正作業についてはお客様にて実施頂き、プレミアムでは是正作業も承ります。

【コンサルティング】
ベーシックプランは、脆弱性診断ではなく、セキュリティコンサルティングです。

【内容】
外部に公開されているサーバーのIPアドレスごとに、攻撃者の視点から脆弱性を見つけます。
セキュリティ事故のほとんどはヒューマンエラー、うっかりミスによって引き起こされます。IPアドレス診断は、複雑な脆弱性の発見というよりは、このヒューマンエラーの発見にフォーカスします。

【診断の意義】
企業が外部に公開しているサーバーが攻撃を受ける最初のポイントです。これをアタックサーフェスと呼びます。アタックサーフェスの把握は、現在保有しているリスクの把握の第一歩となります。
外部に公開しているサーバーにはさまざまな種類があり、ホームページから会員サイト、予期せぬサービスの公開などです。攻撃とは関係のなさそうなWebサイトも一度は診断することをお勧めします。

【実際の事案】
ホームページの脆弱性は企業の内部ネットワークまでの道筋を攻撃者に提供することがあります。管理者画面が脆弱で、管理者画面にファイルサーバーの情報が残っており、攻撃者が社内の重要な情報資産のすべてを暗号化してしまった事案があります。
ベンダー用に用意していたリモートデスクトップから内部ネットワークへの侵入を許し、顧客情報の流出につながった事案があります。
ファイルサーバーが公開されており、デフォルトのユーザー名とパスワードのまま設定されていたため、機密情報がほとんど漏れているも同然だった事案があります。

一度でも診断を行うことで、上記のような重大なインシデントを回避することができます。

▼ご提供内容
【脆弱性分析】
ご利用のソフトウェア・フレームワークに応じて、
公表された脆弱性情報を基づいたスキャンツールを利用して、
セキュリティ診断を行います。
【ペネトレーションテスト】
公認の情報処理安全確保支援士が実際の攻撃手法と同じ手段で侵入テストし、
システムの脆弱性を診断します。
【セキュリティ対策レポート】
診断結果に応じて、
セキュリティを向上させる具体的な対策の提案をご提供いたします。
ご不明な点等について、
Webミーティング・電話などで詳しく説明いたします。
【セキュリティ対策の実施】
診断結果に応じて、セキュリティを向上させる具体的な対策の対応を
弊社エンジニアにお任せします。

【課題】近年、我々が普段から運用保守に使用している共有サーバーに加えてセルフマネージド型サーバーを検討される企業様も増えています。只、その一方で「セキュリティ対策が本当にできているのかわからない」「万が一の時に不安」と思われている人も多いのではないでしょうか。

【目的】不安定な稼働サーバーのフォローアップ

【このようなお悩みはありませんでしょうか？】

• 過去に構築をお願いしたエンジニアに連絡がつかなくなった
• サイト開設から運用まで十分な知識も無いまま何となく管理していたら、最近売り上げや訪問者が減ってしまった
• 契約プランを変えればどれくらいのパフォーマンス向上が可能か気になっている
• スナップショットの使い方がわからない、OSのバージョンアップがわからないなど、レベル感的についていけず困っている
• 海外に移住した前任者が国内のサーバーにアクセスできなくなったので、引き継いでくれる人を探している

【基本的な作業】

• 仮想デスクトップへのリモートアクセス（例．Citrix Workspace）
• PowerShellやTeratermによるコマンドの実行（リポジトリの更新やアップデート、不要なデータの削除等）
• ログファイルの分析
• .confのパラメータ追加や無効化
• サーバコントロールパネルによる設定変更

※サービス内容については随時更新していきます

Webアプリケーションに対し、セキュリティエンジニアが手動診断とツール診断を合わせて実施し、
システムに内在する脆弱性やサービス設計上のリスクを網羅的に洗い出します。

主な診断項目
・インジェクション診断
　SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション等
　入出力に関する部分を診断いたします。
・認証に関する診断
　ログイン・ログアウト機能、認証を回避できるかなどを診断いたします。
・認可に関する診断
　権限昇格、アクセス権限が無いページへのアクセスができないかなどを診断いたします。
・セッション管理に関する診断
　クロスサイトリクエストフォージェリ、セッション管理に使用されている情報に
　不備が無いか診断いたします。
・情報漏洩につながる項目に関する診断
　設定上情報漏洩につながる可能性があるものが無いか診断いたします。
・その他一般的な脆弱性や設定の不備に関する診断をいたします。
　
----------セキュリティ診断の流れ----------

■ヒアリング
　・ご要望やご予算に応じて、診断範囲等を調整いたします。
　・お客様の抱える課題や開示いただける情報をお聞きいたします。
　・必要なアカウントの準備やアクセスの設定をお聞きいたします。
　・サービスのローンチ前までに終わらせたい等、診断の日程について調整いたします。

■お見積り
　・ご共有いただいた情報やリクエスト、納期に応じてお見積金額を決定いたします。

■診断
　・診断対象となるWebアプリケーションやサーバーを診断いたします。
　・エグゼクティブサマリ、問題点や対策をまとめた脆弱性診断報告書を作成いたします。

■ご報告
　・脆弱性診断報告書をベースに診断で発見された項目についてのご報告を行います。

その他ご不明点・ご相談等ございましたら、お気軽にメッセージをいただけますと幸いです。

診断対象のサーバーに対し、セキュリティエンジニアがネットワーク経由でアクセスを行い、サーバー上で
稼働しているOSやミドルウェア等のネットワークサービスの確認、セキュリティホールの有無をチェックいたします。

主な診断項目

・ポートスキャン
　対象サーバーの不要に公開されているポートがないか診断いたします。
・セキュリティホールの診断
　対象のサーバー情報を収集し、脆弱性のある設定がされていないか診断いたします。
・脆弱性診断
　OSやソフトウェアに内在する既知の脆弱性の情報を診断いたします。
・リソースマッピング
　対象ドメインに紐づくリソースを可視化しご提供いたします。

----------セキュリティ診断の流れ----------

■ヒアリング
　・ご要望やご予算に応じて、診断範囲等を調整いたします。
　・お客様の抱える課題や開示いただける情報をお聞きいたします。
　・必要なアカウントの準備やアクセスの設定をお聞きいたします。
　・サービスのローンチ前までに終わらせたい等、診断の日程について調整いたします。

■お見積り
　・ご共有いただいた情報、納期に応じてお見積金額を決定いたします。

■診断
　・診断対象となるサーバーを診断いたします。
　・エグゼクティブサマリ、問題点や対策をまとめた脆弱性診断報告書を作成いたします。

■ご報告
　・脆弱性診断報告書をベースに診断で発見された項目についてのご報告を行います。

その他ご不明点・ご相談等ございましたら、お気軽にメッセージをいただけますと幸いです。

<サービス概要>
当社は最先端の脆弱性スキャナを利用して、お客様のシステムのセキュリティを徹底的に分析し、侵入テストを実施します。これにより、潜在的なセキュリティリスクを特定し、攻撃者が利用可能な脆弱性を明らかにします。当社の専門家チームは、実際の攻撃シナリオを想定してテストを行い、お客様のシステムのセキュリティを強化するための具体的な脆弱性診断の提案を行います。

<サービス内容>
脆弱性分析: 最新の脆弱性スキャナを使用して、お客様のシステムに存在する可能性のあるセキュリティ上の問題を特定します。
侵入テストの実施: エシカルハッキングの手法を用いて、実際の攻撃を模倣し、システムの脆弱性をテストします。
レポートの作成: テスト結果を詳細に分析し、脆弱性の特定、利用された攻撃方法、および対策についての包括的なレポートを提供します。
改善提案: レポートに基づいて、システムのセキュリティを向上させるための具体的な提案を行います。

<対象クライアント>
中小企業から大企業まで、あらゆる規模のビジネス。
システムやネットワークのセキュリティが重要な役割を果たす組織。
定期的なセキュリティチェックが必要な企業。

<サービスの利点>
最新技術を使用した徹底的なセキュリティチェック。
実際の攻撃シナリオに基づく侵入テスト。
明確で実用的な改善提案。
システムのセキュリティ強化とリスク軽減。

「うちの情報セキュリティって大丈夫なのかな？」

大企業でも発生する情報漏洩。
発生すると自社の信頼がゆらぎ、得意先・取引先にも迷惑をかけてしまいます。

ご提供ソリューション

本パッケージ（下記「診断項目」参照）では、基本的な情報セキュリティの対策状況を診断いたします！
情報セキュリティ自社診断は、情報セキュリティ対策のレベルを数値化し、問題点を見つけます。

診断編を利用することにより、情報セキュリティ対策の現状を把握することができます。

さらに、解説編では、各チェック項目で設定されている設問についての解説があります。
この解説編を参照することで、診断編にある設問の内容を自社で対応していない場合に生じる情報セキュリティへのリスクと、今後どのような対策を設けるべきかを把握することができます。

診断項目

• 脆弱性対策について
• ウィルス対策について
• パスワード管理について
• 機器の設定について
• 情報収集について
• 電子メールのルールについて(3項目）
• 無線LANのルールについて
• Web利用のルールについて
• バックアップのルールについて
• 保管のルールについて
• 持ち出しのルールについて
• 事務所の安全管理について（4項目）
• 情報の安全な処分について
• 守秘義務の周知について
• 取引先管理について
• 従業員教育について
• 私物機器の利用について
• 外部サービスの利用について
• 事故への備えについて
• ルールの整備について

概要

WEBサイトの脆弱性診断を行います。
世界的なホワイトハッカーとして活躍する者が脆弱性の診断を行います。

ハッキングによる情報流出やランサムウエアへの感染の被害が多発しております。
そのような悲劇を未然に防ぐために脆弱性の診断を行って下さい。

パッケージ種別

当パッケージは以下の3種類に分かれております。

・WEBサイトのセキュリティチェック
　　一般的な業務に支障が及ぶリスクが存在するかのチェック

・WEBサイトのセキュリティチェックと一般的な脆弱性診断
　　一般的な業務に支障が及ぶリスクが存在するかのチェック
　　意図されていないファイルの公開などのチェック

・WEBサイトのセキュリティチェックと非常に細かい脆弱性診断
　　一般的な業務に支障が及ぶリスクが存在するかのチェック
　　意図されていないファイルやページの公開のチェック
　　依存するライブラリの脆弱性などの詳細な脆弱性のチェック

アフターサポート

それぞれのパッケージにて診断後に脆弱な箇所のレポートを作成します。
それをもとに解決する方法や代替案などの提示も行いますのでご安心ください。

￥250,000(税抜)/1検査対象当たり

（対象OS例）
Windows, Mac OS, Solaris, Linux(RHEL/Fedora/CentOS/Ubuntu/Debian), FreeBSD, HP-UX, AIX, Cisco, Netscreen, BIG-IP, AlliedTelesis, YAMAHA, Fortinet, AlaxalA, Alteon

業務内容
指定されたサイト・サーバに対して OpenVAS を用いて脆弱性調査を行います。
セキュリティに関してあまり詳しくなく、自分で調査できない、
不安を抱えている場合におすすめです。
サイト・サーバにどのような脆弱性が有るかを簡単に調査できるため、
迅速に対応方法を提示することができます。

こんな方におすすめ

• セキュリティにあまり詳しく無いが自分のサーバのことは気にしたい。
• 自分のサイトにどんな脆弱性があるか知りたい。

納品物

• 見つかった脆弱性の深刻度に応じて分類されたリスト
• 各脆弱性の解説と対応方法

注意事項

• 既知の脆弱性に対応できているか確認するものです。
• 指定されたサイト・サーバについてレポートします。
• 絶対的な安全を保証するものではありません。

指定されたWEBサイト、アプリケーション、ネットワークなどへセキュリティスキャンを行い、問題が見つかった場合は対応策についてご案内します。
脆弱性スキャナにはフリーツールなどではなく、大手企業でも採用されている専門のツールを使って実施しますので精度の高いテストが可能です

継続的な脆弱性モニタリングの場合はお値段の割引があります。ご相談ください

Webアプリケーション脆弱性診断
　　「脆弱性診断って正直わかんない」「予算ってどれぐらい必要なの？」「相場は？」
　　こんな疑問を抱えつつもこのご時世
　　セキュリティ対策をしなくてはいけない。。。。。

　　そんな方におススメ！！
　　相場1リクエスト(通信)20,000円以上のところ業界最安値..........
　　8,000円！！！！
　　※大規模の場合

▲見積もり例：ECサイト
　　　　　　・ログイン画面　5リクエスト
　　　　　　・トップ画面　10リクエスト
　　　　　　・決済画面　10リクエスト
　　　　　　・商品詳細画面　5リクエスト
　　　　　　プラン：　30リクエスト / 300,000円(1リクエスト10,000円)

■実績
大手銀行系業務システム100件以上の診断実績あり
中小企業ECサイト300件以上の診断実績あり
その他ホームページ、コーポレートサイト診断実績あり

■Webアプリケーションの脆弱性診断
例：
　　コーポレートサイト
　　ECサイト
　　キャンペーンサイト等

■金額・納期
[診断金額]
　　¥8,000から(単価)
[診断期間]
　　1週間から
　※期間については基本となりますので状況に応じてご相談させていただくことがございます。

■検査項目
　[緊急度の高い重要脆弱性]
　SQLインジインジェクション
　コマンドインジェクション
　クロスサイト・スクリプティング（XSS）
　LDAPインジェクション
　XMLインジェクション
　Xpathインジェクション
　Codeインジェクション等

■診断方法
　診断ツールにて脆弱性スキャン/手動

■特徴
診断開始時には各リクエストに対しての検査項目を可視化
報告書はASVS(国際基準)にのっとった点数で評価、脅威、対策を明記
検査観点を標準化した事により各診断ごとに結果がブレがなく高網羅性を実現。

昨今ではセキュリティに対する考えは重要視されていて、会社の大事な資産情報が攻撃者によって盗まれて営業停止を迫られるなどの重大な事件も多数発生しているため、ITとは無関係と思っていた職種だからこそ如何なる攻撃も防ぐ対応する必要があります。

セキュリティに関する勉強を４年続けてきて、個人運営から一般企業まで様々なサイトで多くの重要な脆弱性を発見してきた実績があります。

こんな方におすすめ
ウェブアプリケーションを作成してたけれど安全性があるのか不安。
企業に依頼すると数百万円かかる。

納品物
脆弱性診断を行った際の調査結果をPDFでご提出

進め方
1.お客様よりウェブアプリケーション・ウェブサイトのURLをいただく
2.仕様把握（見積もりの際はこの段階で全体のURLを精査し、ご提出いたします。）
3.プロキシツールで１URLずつ調査
4.報告書を作成し、納品

• 『ウェブサイトを作ったけど、セキュリティ対策ができているか不安』
• 『WordPressのダッシュボードに部外者が侵入している気がする』
• 『問い合わせフォームから外国語で迷惑メールがたくさん来る』

↑ こうしたお悩みを解決します。

↓ 以下のような内容の診断を実施します。

• WordPressダッシュボードログイン
• meta要素
• アクセス制限
• 問い合わせフォーム
• インジェクション
• コンプライアンス
• ログ
• ファイアーウォール
• FTPアクセス

一般的な企業のウェブサイトで必要なセキュリティ全てを網羅しています。

認証と認可のみを絞った脆弱性診断です。
認証はログイン画面からログインのフローを対象とします。
認可はお好きな機能から1リクエスト診断します。

脆弱性診断はどこまでやるか明確ではなく、費用も高くなる傾向があります。また、ツール診断は誰でも比較的可能ですが手動診断は経験によるものがありますのでこちらはお任せください。

免責
今回はサンプル的にいくつかのリクエストに対してピンポイントの脆弱性診断になり、すべての脆弱性を網羅するものではありません。