INTELLILINK Webアプリケーション診断サービス
株式会社イードが運営するネットワークセキュリティ情報サイト ScanNetSecurity が行ったサイバーセキュリティ顧客満足度調査「イード・アワード2016」において、当社サービスの「セキュリティ診断サービス」が総合満足度1位を受賞しました。
電子商取引などへのWebシステム診断サービス
Webサイトへの対策として、OSやサーバアプリケーションのセキュリティ対策は行われておりますが、Webアプリケーションへのセキュリティ対策については手薄な状態にあるため、様々な事故が多発しています。
INTELLILINK Webアプリケーション診断サービスは、Webサイト上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。
セキュリティ事故に繋がる主な原因と影響
インターネット上に公開されたWebサイトは、無条件にアクセスできるため個人情報の流出や機密情報の漏洩などのさまざまなリスクを抱えています。様々なセキュリティ事故を誘発させるおそれがあるだけではなく、企業の社会的信用や企業イメージに影響を与えます。
Webアプリケーション診断が対応する脅威と脆弱性例
Webアプリケーションシステムは、個人情報などの機密情報が漏洩する様々な要因や弱点を抱えています。
脅威例
- 権限のないデータの表示やアクセス
- ユーザのIDやパスワード、セッション情報などの漏洩
- 任意のシステムコマンド実行によるシステム乗っ取り
- セッション情報の漏洩によるセッションハイジャック
- メール配送の遅延や踏み台にされる事による信用失墜
- DB内データの改ざん・消去
脆弱性例
- パラメータ値の妥当性チェック不足
- パラメータ値の不正取得
- Webアプリケーションのバグ
- クロスサイトスクリプティング
- メール機能の悪用
- クエリー文操作によるDBへの不正アクセス
Webアプリケーション診断で情報流出の危険性を洗い出します
INTELLILINK Webアプリケーション診断サービスの特長
Webアプリケーション診断
- NTTデータ先端技術独自の検査項目に従い、問題点を検査致します。
- 主にキーオペレーションにて作業を行い、精度の高い検査を行います。
- Webアプリケーション診断専用のスキャナを併用し、網羅性の高い検査を行います。
- 検査結果をもとに、正確・的確に問題点を報告致します。
報告会
- ネットワーク構成やシステム構成を考慮してシステム全体としての安全度を判定します。
- 各脆弱性ごとに攻撃を受ける前提条件や攻撃手口を例示し、被害を受けた場合の危険度を判断します。
- 問題点を、パラメータレベルでピンポイントに指摘します。
- 対策方針を提案し、改修のアドバイスを行います。
Webアプリケーション診断によるメリット
- 個人情報漏洩、及びそれに伴う損害賠償等のリスクを軽減することができます。
- 問題点に対する影響範囲や危険度が明らかになることで、優先順位をつけて効果的な改修を行うことができます。
- 的確な改修方針により、改修にかかる期間や費用を必要最小限にすることができます。
INTELLILINK Webアプリケーション診断サービスの流れ
Webサイト 構成の把握 |
診断作業 | 問題点の解析 | 報告会 |
---|---|---|---|
診断対象に関するヒアリングを実施します。 | ツールの利用、手操作やソースコードでの確認によって、正確・的確に診断します。 | 発見された脆弱性についての内容を整理し、具体的な問題点を指摘します。 | 報告書の内容をお客様にご説明いたします。ご質問にもお答えします。 |
※本サービスは特定非営利活動法人 日本セキュリティ監査協会(JASA)が審査登録を行う「情報セキュリティサービス基準審査登録制度」登録サービスです。