Webセキュリテ検査サービス

Webセキュリティのニーズに対応します。Webアプリのセキュリティチェックのみでなく、セキュリティ教育から総合的なコンサルティングまでお気軽にお問い合わせ下さい。

Webアプリケーションの安全性をチェックは非常に複雑で、多額のコストが必要な作業です。一般のWebサイト検査はセキュリティチェックにツールを利用したブラックボックステスト(外部から脆弱性が無いかチェックするテスト)を行います。ブラックボックステストを行う技術者はコードを解析するスキルを必要としません。ホワイトボックステストではソースコード・設定ファイルをチェックします。ソースコードレベルで解析できる技術と知識を持つ技術者が実施する テストです。弊社では後者のホワイトボックステスト(ソースコード・設定ファイル検査)の利用をお薦めしています。

ライブラリやコンポーネントがバイナリで提供されているなどの理由でソースコードが無い場合もあります。このような場合、ESIではブラックボックスとホワイトボックスを組み合わせたセキュリティチェックも行っています。またセキュリティ管理上の理由からオンサイトでのコードレビューが必要な場合、ご相談ください。ESIは様々なニーズに柔軟に対応しています。

ソースコード検査とWebサイト検査の違い

弊社ではWebセキュリティ検査にホワイトボックステスト(ソースコード検査)、ブラックボックステスト(外部からのWebサイト検査)、の両方をご提供しています。ホワイトボックス検査の場合、検査コースに合わせた検査証の発行も行っています。検査に適合したサイトには万が一インシデントが発生した場合の無料初動対応サポートが添付されます。

ホワイトボックス検査
(ソースコード検査)
ブラックボックス検査
(外部から診断)

人間ドックのように血液検査、内視鏡検査、MRIやCTによる検査のようにWebシステム内部の状態を直接検査

利点

  • テストした範囲が明確
  • 問題の原因が明確
  • 修正箇所が明確

欠点

  • セキュリティとソースコードの両方理解するエンジニアが必須
  • バイナリで配布されているFlashやライブラリのチェックが難しい

健康診断のように外部から検査して明らかな問題がないか診断するテスト

利点

  • Webアプリどれでもチェック可能
  • ツールを用いたチェックが主体
  • ソースコードが無しでチェック可能

欠点

  • テストした範囲が不明確
  • 問題の原因が不明確
  • 修正箇所が不明確

 人間の健康チェックと同様にコンピュータシステムにも内部情報を参照し、問題や異常がないか、問題や異常の兆候がないか確認した方がはるかに正確な状態を確認できます。 

参考: ソースコード検査に耐えるコードとは?(PDF)

 

選べるソースコード検査サービス

簡易で安価なサービスから本格的なサービスまで対応しています。見積もり無しで即検査可能なベストエフォート型3種類と個別見積り型のソースコード検査サービスをご用意しています。

■ソースコード検査コース

  1. ブロンズ: 簡易診断コース  - 20万(+税)
  2. シルバー: 危険な脆弱性を検出するコース - 60万円(+税)
  3. ゴールド: 潜在的な危険性も検出するコース  - 110万円(+税)
  4. プラチナ: あらゆるリスクに対応する個別見積り型  - 参考価格: 160万円(+税)から

ブロンズ、シルバー、ゴールドはベストエフォート型の固定価格サービスです。ベストエフォート型のチェックは可能な限り詳細にソースコードを解析し、脆弱性を発見するサービスです。早くWebサイトの安全性を評価したい場合、繰り返しソースコードの安全性をチェックしたい場合、 手軽にWebサイトの脆弱性を検出したい場合にご利用ください。1万行のシステムであっても、50万行のシステムであっても同じ価格でサービスをご 提供します。ソースコードの量が多いほど検査の精度が低下します。大規模なシステムの場合、検査対象の特に気になる部分のコードに限定し、精度 を向上させることも可能です。

プラチナ(個別見積り型)は詳細なソースコード検査のみでなく、システム全体・開発体制としてセキュリティを維持されたい場合に最適です。ネットワーク・アプリケーション設計、ソースコードなどレビューからセキュリティ維持コンサルティングや教育・研修、Webサイト開発におけるのあらゆるセキュリティニーズに対応します。

ブロンズ: 簡易診断コース - 20万円(+税)

脆弱性が存在するか?全体的なコードの安全性はどれくらいか?評価にお困りではありませんか?とにかく安く、速くチェックしたい方向けのサービスです。弊社ではソースコード中に含まれるリスクを、スキルを持った エンジニアがソースコードを解析し、リスク評価を行います。低価格であっても外部から脆弱性を検出するブラックボックステスト型のセキュリティチェックでは検出できない問 題の有無を検出します。

新しいシステムの稼働前や既に稼働中のシステムのセキュリティチェックにご活用ください。

  • 対象: 対応環境で構築されたシステム
  • 価格: 20万(+税) - 1システムあたりの価格
  • 納期: 受注から数日
  • レポート : 危険性が高い問題の有無をご報告します。
  • 特徴: ソースコードの安全性を確認するには有効です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

簡易検査で問題が発見された場合、さらに詳しい検査が必要です。上位コースでの検査をお勧めします。上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

シルバー: 危険な脆弱性を検出するコース - 60万円(+税)

攻撃される危険性が高いコードを特定するより本格的なソースコードチェックです。一般的なブラックボクス型のセキュリティチェックより低価格でありなら、ソースコード全体をチェックを行うコードレベルのセキュリティ検査を行います。

  • 対象: 対応環境で構築されたシステム
  • 価格: 60万(+税)- 1システムあたりの価格
  • 納期: 受注から約2週間
  • レポート : 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説をご報告します。
  • 特徴: 全体的なソースコードの安全性を確認するには有効です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: 問題箇所の再検査、コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

ゴールド:  潜在的な脆弱性も検出するコース - 110万円(+税)

本格的なソースコードレベルでのセキュリティ検査が可能なコースです。

  • 対象: 対応環境で構築されたシステム
  • 価格: 110万(+税)- 1システムあたりの価格
  • 納期: 受注から約4週間
  • レポート: 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説に加え、弊社がソースコード中に発見した潜在的な脆弱性もご報告します。
  • 特徴: 多くの場合、ソースコードに含まれるほとんど脅威を検出可能です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: 問題箇所の再検査、コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

プラチナ: 個別見積りタイプ - 参考価格 160万円(+税)から

本格的なソースコード、Webサーバ設定の検査サービスです。PCI DSSなどで求められるレベルのソースコード検査を行います。ソースコード、Webサーバ設定、データベース設定などWebシステム全体がセキュアな状態であるかチェックします。Webシステムの構築から運用までトータルでセキュアな環境構築のサポートも可能です。ブラックボックス検査(一般のWebサイト診断はブラックボックス検査です)並の価格で本格的なソースコードを行えます。

価格: 個別お見積り。参考価格 - 1システム160万円(+税)から

参考例:180万円(+税)
約20万行のソースコードを詳細に検査し、脆弱なコード/設計のレポート作成。
開発担当者への検査結果説明会を実施。

参考例:400万円(+税)
設計段階からカットオーバまでセキュリティ上脆弱な設計/コードを継続的にチェック。
開発担当者へのセキュリティー研修を実施。

■対応環境

対応言語

  • JavaScript / PHP(フレームワークを問いません)/ Ruby(Rails)/ Perl / Python / C#(.NET)/ C/C++(Cアプリ全般。PHP/Zepier/Phalconモジュールなど) / Objective C(iPhone)/ Java(Struts、Spring、Androidなど)

対応データベース

  • RDBMS(PostgreSQL、MySQL、SQLite、Oracle、MS SQL Serverなど)
  • NoSQL(MongoDB、Redis、Memcacheなど)

対応システム

  • JavaScript/PHP/Perl/Ruby/Python/Java/.NET/iPhone/Android
  • PostgreSQL/MySQL/Oracle/MS SQL Server/etc
  • IIS/Apache httpd/Nginx/etc

対応するセキュリティ標準・セキュリティガイド

  • ISO27000 / PCI DSS / CWE / CAPEC / CWE SANS TOP 25  / OWASP TOP 10 / OWASP Guide

検査合格証とアフターサポート

各コースの検査に合格した場合、検査合格証を発行いたします。検査合格証は、万が一のセキュリティインシデント発生時の無料インシデント初期対応コンサルティングのクーポンになります。検査内容のご質問について制限はございません。予め再検査オプションを購入頂いている場合、再検査も可能です。

検査合格証発行基準

  • 各コースのセキュリティ検査で危険な脆弱性・コーディングが全く検出されないこと
  • 再検査の必要がないこと

基準を満たさない場合、検査合格証は発行できません。安全性の確認を十分に行うために通常の検査を再度お願いしています。1年以内の再検査には割引サービスもございます。

ソースコード検査のお申し込みとサービスの流れ

  1. ご利用頂くセキュリティチェックサービスを決定
  2. お問い合わせ 先にセキュリティチェックをご希望の旨を連絡
  3. 弊社よりお見積書および申込書を送付
  4. 注文書送付(ご契約)
  5. ソースコードの開示(ソース送付。GitHub等にも対応しています)
  6. コードまたはサイトのセキュリティチェックを実施
  7. サービス料金のお振込
  8. セキュリティチェックレポートの送付
  9. 再検査オプションをご利用の場合、再検査
  10. 検査説明会オプションをご利用の場合、検査説明会実施

その他のセキュリティ関連製品とサービス

  • PROVE for PHP : Webセキュリティ維持には利用するシステムを最新の状態に維持する事が欠かせません。PHPのバージョンアップを容易にするPROVE for PHPを開発・販売しています。詳しくはPROVE for PHPのホームページをご覧ください。
  • PHPセキュリティ保守サービス : SRA OSS Inc 日本支社と提携しメンテナンスされていないレガシー版PHPへセキュリティパッチをバックポートするサービスを提供しています。現在はPHP4.3/4.4/5.1/5.2/5.3に対応。 詳しくはPHP セキュリティ保守サービスをご覧ください。
  • セキュアWeb開発研修 : 開発者が自ら安全なWebアプリケーションを構築可能となるWeb開発研修を行っています。
  • OpenSAMM導入 : 能力成熟度モデル型の管理モデル導入サービスです。セキュア開発プロセスを比較的容易に導入できることが特徴です。詳しくはOpenSAMM導入サービスをご覧ください。
  • テクニカルサポート: セキュリティから技術的なコンサルティングをお客様のニーズにあわせてご提供しています。

問い合わせ先