株式会社エスツー

SERVICE

ITインフラサービス

ペネトレーションテスト

クレジットカード情報、個人情報、各種IDなど、
ハッカーにとって、Webアプリケーションは価値あるターゲットです

ここ数年はインシデントは増える一方で、なかでもタブレットやスマートフォンなど、モバイルデバイスでの被害が増えています。
マルチデバイス化や広がり続けるオープンソースなど、時代の変化にセキュリティが対応しきれず、被害が減らないといった背景があります。

増え続ける
Webアプリケーション攻撃

なぜ、Webアプリケーションは危険なのか。それは、以下の理由が考えられます。

  • ポート80(http)とポート443(https)は必ず開いている
  • このポートを通って来る攻撃が存在する
  • 一般的なファイアウォールや、IPSはこの攻撃に対して無力
  • Webアプリケーション攻撃に効果的なWAFは高価で、導入されていない事が多い
Webアプリケーション相関図

セキュリティ問題による損害

  • ブランド
    • 顧客の信用
    • 顧客の減少
  • 間接費用
    • 対策中の機会損失
  • 直接費用
    • サイト改修費用
    • 再監査、再検査費用
    • 罰金
    • メディア対策費用
    • 弁護士・裁判費用
    • 損害賠償

S2スキャンとは

脆弱性テストのパターンは
7,000種類以上

S2 Scanが生成したテスト用のHTTPリクエストをハッカー視点で送信することで、サーバー側のOSや言語を問わず、実際に起こりうる脆弱性に対するテストが可能です。
攻撃パターンは常時更新され、現在は7000種類以上のテストを実施します。

S2 Scanの仕組み

S2スキャンの強み

  • Webアプリケーションをブラックボックスとして検査するため、OSや利用言語によらず検査可能

  • テストを自動化し、手作業に比べて圧倒的な網羅性を確保し、テスト時間とコストの削減が可能

  • 脆弱性の指摘だけではなく、修正方法の提示、レポートの作成

  • スキャン用のクライアントの作成、実際のスキャン、脆弱性のピックアップまでを弊社が代行
  • 人件費や学習コストを考える必要なし
サイトの構成が一目で分かる・問題が重大度分けして表示される・セキュリティアドバイザリが日本語で表示

Source: Worldwide Security and Vulnerability Management Software 2006-2010 Forecast and Analysis: Managing Security Knowledge and Control, IDC #204693, December 2006; Gartner Dataquest, "Market Share: Application Development and Project and Portfolio Management, Worldwide, 2005, Table 2-1," Laurie F. Wurster and Fabrizio Biscotti, 18 May, 2006; Gartner Dataquest, "Market Share: Application Development and Project and Portfolio Management Software, Worldwide, 2006."

わかりやすい情報表示
問題の詳細な解説と影響を提示、.NET、J2EE、PHP に特化した修正方法も提示
詳細なテスト情報の表示
リクエスト/レスポンスの詳細を確認可能 変更点と問題点が強調表示される
詳細なレポート
レポートに載せる内容は選択可能 レポートに載せる内容は選択可能 PCI-DSS、OWASP Top 10 などのコンプライアンス レポートも豊富 レポートは、pdf、html、txt など様々なフォーマットで保存可能
多言語対応
英語、日本語をはじめ8ヶ国語に対応 オフショア開発でも高品質を維持
主なテスト項目
  • HTTPレスポンス分割
  • LDAPインジェクション
  • Nullバイト・インジェクション
  • OSコマンド実行
  • SOAP配列の悪用
  • SQLインジェクション
  • SSIインジェクション
  • URLリダイレクターの悪用
  • XMLインジェクション
  • XML外部エンティティー
  • XML属性ブローアップ
  • クロスサイト・スクリプティング
  • コンテンツ・スプーフィング
  • サービス拒否攻撃
  • セッションの固定
  • パス・トラバーサル
  • バッファー・オーバーフロー
  • ブルート・フォース
  • リモート・ファイルのインクルード
  • 資格情報/セッション予測
  • 不十分なトランスポート層防御
  • 不適切なセッション有効期限・許可・認証

S2スキャン 基本料金

  スポットプラン 年間プラン
診断費用
スポットプラン
¥500,000
年間プラン
¥1,500,000(年額)
診断回数
スポットプラン
2回まで
年間プラン
2回/月
診断方法 セキュリティエンジニアによるツール診断
レポート 検出された全ての脆弱性および推奨される対処方法を提出

※表示価格は税抜価格となっております。