HOME → サービス・製品 → セキュリティソリューション

各種脆弱性診断について


 

BCSが提供する脆弱性診断の種類

・ネットワーク脆弱性診断

サーバーやネットワーク機器に対する脆弱性を診断いたします。ポートの不必要な開放やパッチ未適用などを検出します。

・Webアプリケーション脆弱性診断

Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。

・ソースコード診断

ツールによるソースコード解析を行い、脆弱性部分を特定します。


 

BCSが提供する脆弱性診断の特長

・経験豊富なセキュリティ技術者が診断いたします

手動診断は、サイトの特徴などから攻撃者目線で弱点部分を推測し、疑似攻撃を仕掛ける診断手法を取ります。そのため、実際の攻撃者と同じくハッカーとしてのセンスや経験、技量が非常に重要となります。
BCSのセキュリティ技術者は、日本において脆弱性診断が初めて提供された時期から十数年診断現場で診断にあたった技術者が担当しています。過去に診断を行ったサイトは累計800サイトを超えており、これは国内トップレベルであると自負しております。

・高い診断報告書品質が自慢です

どんな脅威が発見され、影響度の重要性の判断や、取るべき対策などを、経験豊富なエンジニアが手作業でわかりやすく報告をまとめます。


 

ウェブ・ネットワーク診断(サービスイメージ)

熟練した技術者の診断ノウハウを可能な限り手順化し、またツールを利用することにより、リーズナブルでありながらも高い脆弱性検出率を誇るサービスをご提供いたします。
 

 

ツール診断と手動診断の違い

Webアプリケーション診断の手法として、下記の2つがあります。
 ①診断ツールによる診断
 ②専門家の手動診断
いずれの手法も、診断対象となるWebアプリケーションに対し、「シグネチャ」と呼ばれる特別な文字列を送ったり、処理を実行し、その応答結果や動作から脆弱性の有無を判断します。
診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合が多々あるため、ツール診断と手動診断を組み合わせて脆弱性診断を実施いたします。
実際、ツール診断で検知されなかった脆弱性が手動診断で発見されることは多々ございます。
また、手動診断については診断技術者の経験値とセンスによる部分が非常に大きく、診断業者で結果が大きく変わる部分です。
なお、ツール診断と手動診断には、それぞれ以下のような長所短所を持っています。
ツール診断長所:自動で効率的に膨大なパターンをチェックできる
短所:複雑なサイト構成では診断できない。誤検知が非常に多い
手動診断 長所:それぞれのWebアプリケーション特有の構成に応じた診断ができる。
コンサルタントスキルによって診断ツールでは検知できない脆弱性を発見できる
短所:一度に多くのパターンをチェックできない。コンサルタントスキルによって診断品質が変化する