セキュリティ診断Webアプリケーション診断サービス
電子商取引などへのWebシステム診断サービス
Webサイトへの対策として、OSやサーバアプリケーションのセキュリティ対策は行われておりますが、Webアプリケーションへのセキュリティ対策については手薄な状態にあるため、様々な事故が多発しています。
Webアプリケーション診断サービスは、Webサイト上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。
セキュリティ事故に繋がる主な原因と影響
インターネット上に公開されたWebサイトは、無条件にアクセスできるため個人情報の流出や機密情報の漏洩などのさまざまなリスクを抱えています。様々なセキュリティ事故を誘発させるおそれがあるだけではなく、企業の社会的信用や企業イメージに影響を与えます。
Webアプリケーション診断が対応する脅威と脆弱性例
Webアプリケーションシステムは、個人情報などの機密情報が漏洩する様々な要因や弱点を抱えています。
脅威例
- 権限のないデータの表示やアクセス
- ユーザのIDやパスワード、セッション情報などの漏洩
- 任意のシステムコマンド実行によるシステム乗っ取り
- セッション情報の漏洩によるセッションハイジャック
- メール配送の遅延や踏み台にされる事による信用失墜
- DB内データの改ざん・消去
脆弱性例
- パラメータ値の妥当性チェック不足
- パラメータ値の不正取得
- Webアプリケーションのバグ
- クロスサイトスクリプティング
- メール機能の悪用
- クエリー文操作によるDBへの不正アクセス
Webアプリケーション診断で情報流出の危険性を洗い出します
Webアプリケーション診断サービスの特長
Webアプリケーション診断
- NTTデータ・セキュリティ独自の検査項目に従い、問題点を検査致します。
- 主にキーオペレーションにて作業を行い、精度の高い検査を行います。
- Webアプリケーション診断専用のスキャナを併用し、網羅性の高い検査を行います。
- 検査結果をもとに、正確・的確に問題点を報告致します。
報告会
- ネットワーク構成やシステム構成を考慮してシステム全体としての安全度を判定します。
- 各脆弱性ごとに攻撃を受ける前提条件や攻撃手口を例示し、被害を受けた場合の危険度を判断します。
- 問題点を、パラメータレベルでピンポイントに指摘します。
- 対策方針を提案し、改修のアドバイスを行います。
Webアプリケーション診断によるメリット
■個人情報漏洩、及びそれに伴う損害賠償等のリスクを軽減することができます。
■問題点に対する影響範囲や危険度が明らかになることで、優先順位をつけて効果的な改修を行うことができます。
■的確な改修方針により、改修にかかる期間や費用を必要最小限にすることができます。
Webアプリケーション診断サービスの流れ
