ホーム  >  サービス > Webセキュリティ監査

■ Webセキュリティ監査とは

ESIはあらゆるWebセキュリティのニーズに対応します。Webアプリチェックのみでなく、セキュリティ教育から総合的なコンサルティングまでお気軽にお問い合わせ下さい。

Webアプリケーションの安全性をチェックは非常に複雑で、多額のコストが必要な作業です。安価なセキュリティチェックはツールを利用したブラックボックステスト(外部から脆弱性が無いかチェックするテスト)を行います。ツールを利用するためテストを行う技術者は高い技術を必要としません。高価なセキュリ ティチェックではホワイトボックステストを行います。ホワイトボックステストとはソースコードやサーバ設定などが正しく記述されているか技術者が確認する テストです。

弊社ではブラックボックステスト、ホワイトボックステストの両方をご提供しています。

ブラックボックス

健康診断のように外部から検査して明らかな問題がないか診断するテスト

利点

  • Webアプリケーションならどれでもチェック可能
  • ツールを用いたチェックが比較的容易
  • ソースコードが無くてもチェック可能

欠点

  • テストした範囲が不明確
  • 問題の原因が不明確
  • 修正箇所が不明確
ホワイトボックス

人間ドックのように血液検査、内視鏡検査、MRIやCTによる検査のように
Webシステム内部の状態を直接検査

利点

  • テストした範囲が明確
  • 問題の原因が明確
  • 修正箇所が明確

欠点

  • セキュリティとソースコードの両方理解するエンジニアが必須
  • バイナリで配布されているFlashやライブラリのチェックが困難

人間の健康チェックと同様にコンピュータシステムにも内部情報を参照して問題がないか確認した方がはるかに正確な状態を確認できます。 

弊社では信頼性が高いホワイトボックステストをお勧めしています。しかし、ライブラリやコンポーネントがバイナリで提供されているなどの理由でソースコードが無い場合もあります。ESIではブラックボックスとホワイトボックスを組み合わせたセキュリティチェックも行っています。

また、セキュリティ管理上の理由からオンサイトでのコードレビューが必用な場合も少なくありません。ESIでは様々なニーズに柔軟に対応しています。

効率良くWebセキュリティを向上したいとお考えの場合、お気軽にお問い合わせ下さい。コード監査のみでなく、ご予算に合わせたセキュリティ対策をご提案いたします。

 

■サービスの流れ

セキュリティチェックサービスをご利用の場合は弊社にお問い合わせ先にご連絡頂き、申込書をお取り寄せください。 

  1. ご利用頂くセキュリティチェックサービスを決定
  2. お問い合わせ 先にセキュリティチェックをご希望の旨を連絡
  3. 弊社よりお見積書および申込書を送付
  4. 申込書送付(ご契約)
  5. コードまたはサイトのセキュリティチェックを実施
  6. サービス料金のお振込
  7. セキュリティチェックレポートの送付

■ホワイトボックステスト 

弊社ではソースコードを解析し、脆弱性を検出する、簡易で安価なサービスから本格的なサービスまで対応しています。見積もり無しで即検査可能なベストエフォート型3種類と個別見積り型のソースコード監査サービスをご用意しています。
  1. ブロンズ: 簡易診断コース  - 15万(+税)
  2. シルバー: 危険な脆弱性を検出するコース - 45万円(+税)
  3. ゴールド: 潜在的な危険性も検出するコース  - 90万円(+税)
  4. プラチナ: 個別見積り型  - 参考価格: 150万円(+税)から
ブロンズ、シルバー、ゴールドはベストエフォート型の固定価格サービスです。とにかく速くWebサイトの安全性を評価したい場合、繰り返しソースコードの安全性をチェックしたい場合にご利用ください。 ベストエフォート型のチェックは可能な限り詳細にソースコードを解析し、脆弱性を発見するサービスです。手軽にWebサイトの脆弱性を検出したい場合にご利用ください。
プラチナ(個別見積り型)は詳細なソースコード監査やシステム全体としてセキュリティを維持された場合にご利用ください。設計、ソースコードなどレビューからセキュリティ維持コンサルティングや教育、Webサイトセキュリティのあらゆるニーズに対応します。

■ ブロンズ: 簡易診断コース -  15万円(税込み16万6500円)

脆弱性が存在するか?全体的なコードの安全性はどれくらいか?評価にお困りではありませんか?とにかく安くそして速くチェックしたい方向けのサービスです。弊社ではソースコード中に含まれるリスクを、スキルを持った エンジニアがソースコードを解析し、リスク評価を行います。低価格であっても外部から脆弱性を検出するブラックボックステスト型のセキュリティチェックでは検出できない問 題の有無を検出します。

新しいシステムの稼働前や既に稼働中のシステムのセキュリティチェックにご活用ください。

  • 対象: PHP/Perl/Ruby/Pythonで構築されたシステム
  • 価格: 16万6500円(税込み) - PHP/Perl/Ruby/Pythonで構築された1システムあたりの価格
  • 納期 :  受注から2日
  • レポート : 危険性が高い問題の有無をご報告します。
  • サー ビス概要:本 サービスはシステム規模を問わないベストエフォート型のサービスです。1万行のシステムであっても、50万行のシステムであっても同じ価格でサービスをご 提供します。ソースコードの量が多いほど監査の精度が低下します。大規模なシステムの場合、特に気になる部分を監査対象のコードを限定することにより精度 を向上させることも可能です。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。
検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。
お問い合わせ 

■ シルバー:  危険な脆弱性を検出するコース - 45万円(税込み47万2500円)

攻撃される危険性が高いコードを特定するより本格的なソースコードチェックです。一般的なブラックボクス型のセキュリティチェックより低価格でありなら、ソースコード全体をチェックを行うコードレベルのセキュリティ監査を行います。

  • 対象: PHP/Perl/Ruby/Pythonで構築されたシステム
  • 価格: 47万2500円(税込み)- PHP/Perl/Ruby/Pythonで構築された1システムあたりの価格
  • 納期 :  受注から1週間
  • レポート : 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説をご報告します。
  • サー ビス概要:本 サービスはシステム規模を問わないベストエフォート型のサービスです。1万行のシステムであっても、50万行のシステムであっても同じ価格でサービスをご 提供します。ソースコードの量が多いほど監査の精度が低下します。大規模なシステムの場合、特に気になる部分を監査対象のコードを限定することにより精度 を向上させることも可能です。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。
検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。
お問い合わせ 

■ ゴールド:  潜在的な脆弱性も検出するコース - 90万円(税込み94万5000円)

本格的なソースコードレベルでのセキュリティ監査が可能なコースです。

  • 対象: PHP/Perl/Ruby/Pythonで構築されたシステム
  • 価格: 94万5000円(税込み)- PHP/Perl/Ruby/Pythonで構築された1システムあたりの価格
  • 納期 :  受注から2週間
  • レポート : 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説に加え、弊社がソースコード中に発見した潜在的な脆弱性もご報告します。
  • サービス概要:本サービスはシステム規模を問わないベストエフォート型のサービスです。1万行のシステムであっても、50万行のシステムであっても同じ価格でサービスをご提供します。ソースコードの量が多いほど監査の精度が低下します。大規模なシステムの場合、特に気になる部分を監査対象のコードを限定することにより精度を向上させることも可能です。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。
検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。
お問い合わせ 

■ プラチナ: 個別見積りタイプ - 参考価格 150万円(税込み157万5000円)から

本格的なソースコード、Webサーバ設定の監査サービスです。PCI DSSなどで求められるレベルのソースコード監査を行います。ソースコード、Webサーバ設定、データベース設定などWebシステム全体がセキュアな状態であるかチェックします。Webシステムの構築から運用までトータルでセキュアな環境構築のサポートも可能です。
 
対応システム
  • PHP/Perl/Ruby/Python/Java/.NET
  • PostgreSQL/MySQL/Oracle/MS SQL Server/etc
  • IIS/Apache httpd/lighttpd/etc

価格: 個別お見積り。参考価格 - 1アプリ150万円(税込み157万5000円)から

 
参考例:180万円(+税)
約20万行のソースコードを監査し、脆弱なコード/設計のレポート作成。
開発担当者への説明会も開催。

参考例:400万円(+税)
設計段階からカットオーバまでセキュリティ上脆弱な設計/コードを継続的にチェック。
開発担当者への説明会も開催。

お問い合わせ 

 

■ブラックボックステスト - 参考価格: 60万(税込み63万円)から

Webシステムがセキュアな状態であるか外部からチェックします。ツールのみによるチェックではなく、セキュリティ監査スキルを持ったエンジニアがセキュリティ脆弱性の有無を確認します。弊社ではソースコードの開示が難しい場合以外、ブラックボックステストはお薦めしません。

ホワイトボックステストと組み合わせ、外部制作のFlashやサードパーティ製のライブラリのセキュリティチェックのみはブラックボックスで行うことも可能です。

対応システム
  • Webシステム全般(言語を問いません)

価格:個別お見積り。 参考価格 - 1アプリ60万円(税込み63万円)から

お問い合わせ