ニュースリリース

ホーム ニュースリリース 「TECHORUS SECURITY」ラインナップ拡充の第二弾として 「WEBアプリケーション脆弱性診断サービス」の提供を開始
ゲーム、コミック、コマース支援等のサービスを提供するNHNグループ保有のセキュリティ・ナレッジを活用、外販サービスとして新たにリリース
NHN テコラス株式会社(本社:東京都新宿区、代表取締役社長:稲積 憲、以下 NHN テコラス)は、2016年6月に新たに事業化した統合セキュリティ支援サービス「TECHORUS SECURITY」(報道発表資料:https://nhn-techorus.com/release/2016_190.html)において、本日より新たに「WEBアプリケーション脆弱性診断サービス」の提供を開始することとなりましたのでお知らせします。


WEBアプリケーション脆弱性診断サービスロゴ

サービス提供の背景

NHNグループは、ゲーム(スマートフォン・PC)やコミックなどのB to C向けサービスやコーマス支援サービス等を展開する会社を傘下に持ち、多くのユーザーに快適にお楽しみいただけるサービスを提供しています。
そのなかで当社はNHNグループにおけるB to B事業の中核としてコマース、セキュリティ、ITインフラ、広告などの事業を幅広く展開するほか、グループ向け支援メニューとして、各社が提供するサービスがユーザーに安心してご利用いただけるよう、セキュリティ専門チームによる脆弱性診断を実施しています。本日より提供を開始する「WEBアプリケーション脆弱性診断サービス」は、当社が過去10年間で述べ2,000サイトの診断を実施した実績に基づき、新たなサービスとして外販するもので、顧客によりセキュアにサービスを運営していただくための基盤づくりを支援します。

WEBアプリケーション脆弱性診断サービスの特長

「WEBアプリケーション脆弱性診断サービス」は、業界標準の脆弱性項目にNHN テコラスのノウハウを組み込んで作成したチェックリストに沿って診断します。診断結果については、脆弱性のリストアップだけにとどまらず、発見された個々の脆弱性から想定される「攻撃手法」や「被害規模・範囲」も提示し、それらの脆弱性を除去するための対策について、専門のセキュリティコンサルタントがアドバイスします。また、より専門的かつ包括的な診断サービスをご希望のお客様向けに、WEBアプリケーションだけでなくOSやミドルウェア、ネットワークなどをトータルで診断するAdvancedプランをご用意し、顧客の多様なニーズにお応えいたします。

本サービスの具体的な特長は以下のとおりです。



・業界標準の脆弱性項目に準拠
診断の各項目は、「OWASP TOP 10」※1や「CWE/SANS TOP 25」※2 などの業界標準の脆弱性項目に準拠しています。

※1 OWASP TOP 10 https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
※2 CWE/SANS TOP 25 https://www.sans.org/media/top25_japanese.pdf




・NHN テコラスが保有する豊富な経験とナレッジ
NHNテコラスでは、過去10年間で延べ2,000サイトの診断実績を保有しています。業界標準の脆弱性項目に、当社が長年にわたって蓄積してきたノウハウ、経験を加え診断します。




・最新の脆弱性に対応
NHNテコラスのCSIRT(Computer Security Incident Response Team)組織と連携し、最新の脆弱性に関する情報を随時アップデート。ゼロデイアタックを防止します。




・自動点検と手動点検によるダブルチェック
自動スキャンツールによる検証と手動による検証を組み合わせてチェックすることで、脆弱性の漏れを最小化し、信頼性の高い診断結果を提供します。




・診断結果のフィードバックおよび対策の提案
診断結果報告書においては、単なる結果のフィードバックにとどまらず、発見された脆弱性の緊急度を明示します。またそれらの脆弱性の除去方法などの具体的な対策を提案します。




・専門コンサルタントによるAdvancedプランを提供
専門的かつ包括的な診断サービスをご希望のお客様向けに、専門コンサルタントによるAdvancedプランを用意。Advancedプランでは、専門コンサルタントがWEBアプリケーションサービスを総合的に分析し、診断対象をWEBアプリケーションだけでなく、OSやミドルウェア、ネットワークまで広げて、幅広いスコープで診断を実施します。診断方法についても、環境や求められるセキュリティレベルに応じ、ペネトレーションテスト、ネットワーク構成レビュー、サーバ診断、ソースコードレビューなど多様な方法を提案します。




・定期診断を対象としたお得なチケットを販売
診断実施後、同一ドメインの再診断をご希望のお客様向けに、お得な定期診断チケット(1年間有効)を販売いたします。脆弱性の対策実施後の再チェックだけでなく、緊急パッチの適用やサイトの改修などにより再診断が必要になった場合に、お求めやすい価格で利用いただけます。チケットの価格はLiteプランが4万円~、Standardプランが12万円~。


・主要診断項目

カテゴリ内容

入力パラメーターの整合性検証

WEBアプリケーションが受け取る入力値の整合性をチェックします。
対応する攻撃の例:SQLインジェクション、コマンドインジェクション、クロスサイトスクリプティング、CSRFなど

アクセス制御の検証

アクセス制御が適切に行われているかをチェックします。
対応する攻撃の例:アクセス制御の迂回、クッキーの改ざん、管理者ページヘの不正アクセスなど

機密情報の露出に関する検証

暗号化による重要情報の保護など、機密情報の保護に関する検証を行います。
対応する攻撃の例:ネットワークスニッフィング、認証情報の不正取得など

サーバ設定の検証

サーバ側の不適切な設定による脆弱性の有無を検証します。
対応する攻撃の例:ディレクトリリスティング、バックアップファイルへのアクセスなど

既知の脆弱性への対応

既知の脆弱性に対応しているかどうかを検証します。
対応する攻撃の例:ゼロデイアタックなど

「WEBアプリケーション脆弱性診断サービス」の詳細は、下記をご覧ください。
https://techorus-security.com/evaluation/

プランおよび価格について

 LiteStandardAdvanced※3

価格(1ドメインあたり、税抜)※1

200,000円~

700,000円~ 別途お見積り

診断方法

自動メイン

手動メイン 手動メイン

診断対象

WEBアプリケーション

WEBアプリケーション WEBアプリケーション、OS、ミドルウェア、TCP/IP各種サービスなど

所要期間※1
(環境分析~報告書提出)

2営業日~

 7営業日~  別途ご相談

報告書作成

 ○

結果速報

オンサイト対応

報告会

オプション

再診断

オプション

※2

お問い合わせ対応

1ヶ月以内 1ヶ月以内 1ヶ月以内

※1 価格および所要期間は、ページ数などの条件によって変動します。
※2 Standardプランの再診断は、診断実施後3ヶ月以内に限り無料で提供します。2回目以降はオプション(チケットのご利用も可能です)。
※3 Advancedプランの価格および提供内容は、事前にお客様とご相談の上、決定します。

リリースキャンペーンについて

本日より2016年9月30日(金)までの期間中にLiteおよびStandardプランをお申し込みの先着5社 (両プラン合計) に限り、無料でサービスを提供するリリースキャンペーンを展開します。

 

 

NHN テコラス株式会社について

所在地 :東京都新宿区新宿6-27-30 新宿イーストサイドスクエア13階
代表取締役社長:稲積 憲
設立 :2007年4月
事業内容:セキュリティ事業・ITインフラソリューション事業・コマース支援事業・広告事業
https://nhn-techorus.com/

 


※記載されている会社名および製品名は、各社の登録商標または商標です。
※記載されている内容は、発表日現在のものです。その後予告なしに変更されることがあります。