株式会社アルファネット
株式会社アルファネットは、ITインフラをトータルでサポートしているサービスインテグレータです。ここでは、アルファネットが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。
引用元:株式会社アルファネット公式サイト( https://www.anet.co.jp/ )
株式会社アルファネットの特徴
動的ページへ攻撃して脆弱性を洗い出す
アルファネットのWEBアプリケーション診断は、対象となるWEBサイトの機密情報漏えい、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すために行うセキュリティ脆弱性診断です。セキュリティスペシャリストが、SQLインジェクションやクロスサイトスクリプティングなどの既知の攻撃手法を実際に用いて、WEBサーバー上で稼動するアプリケーションの動的ページに対し攻撃することで脆弱性を洗い出します。
動的ページとはWebコンテンツの内容(資料請求、QA、ネットショッピングなど)をWEBアプリケーションで生成するページのことです。
2つのWEBアプリケーション診断プラン
アルファネットのスタンダードプランは、既知の攻撃事例を網羅する、SQLインジェクションやクロスサイトスクリプティングなどの攻撃手法を用いた診断サービスです。
アドバンスドプランは、サイバー攻撃のビジネスインパクトが特に大きい場合におすすめです。スタンダードに加え、実際の攻撃者と同じ目線で検証パターンをピックアップし、WEBアプリケーションセキュリティの専門家が手作業による深度の深い検査を行うため、多数の脆弱性の有無を診断できます。
株式会社アルファネットの技術力・品質
アルファネットのWEBアプリケーション診断・ネットワーク診断(プラットフォーム診断)は経済産業省の定める情報セキュリティサービス基準に適合するサービスとして、IPAが公開する「情報セキュリティサービス基準適合サービスリスト」に登録されています。
株式会社アルファネットの診断実績
アルファネットでのWEBアプリケーション診断の事例は公式サイトで確認できませんでした。
WEBアプリケーションの脆弱性診断を行う会社の選び方について、
単発で依頼するのか、継続して依頼するのかなど、
自社の状況や課題に応じた依頼方法を考えましょう。
当メディアでは、「セキュリティ性」に着目し、
おすすめのWEBアプリケーションの脆弱性診断を提供している会社を紹介しています。
ご検討中の方はぜひ参考にしてください。
株式会社アルファネットの費用
ベーシック診断
| WEBアプリケーション診断 | (参考料金)1リクエスト/報告書を含む240,000円(税不明)~ |
|---|
株式会社アルファネットの診断項目
スタンダードプラン
- SQLインジェクションの脆弱性
- クロスサイトスクリプティングの脆弱性
- クロスサイト・リクエスト・フォージェリの脆弱性
- OSコマンドインジェクションの脆弱性
- WEBコンテンツのディレクトリ一覧が閲覧可能
- メールヘッダインジェクションの脆弱性
- ディレクトリトラバーサルの脆弱性
- オープンリダイレクトの脆弱性
- HTTPヘッダインジェクションの脆弱性
- 不適切な認証制御
- セッションIDが推測可能
- セッションフィクセーション検査
- Cookieのsecure属性における問題
- 不適切な認可制御
- 不適切なクエリストリングの利用
- 不適切なCookieの利用
- ログアウト機能における問題
- 不適切なエラーメッセージ
- 不適切なパスワード保存
- エラーページによるWEBアプリケーション情報の漏えい
- 自動返信メールの内容を改ざん可能
- HTTPヘッダにおける問題
アドバンスドプラン
- SQLインジェクションの脆弱性
- クロスサイトスクリプティングの脆弱性
- クロスサイト・リクエスト・フォージェリの脆弱性
- OSコマンドインジェクションの脆弱性
- WEBコンテンツのディレクトリ一覧が閲覧可能
- メールヘッダインジェクションの脆弱性
- ディレクトリトラバーサルの脆弱性
- オープンリダイレクトの脆弱性
- HTTPヘッダインジェクションの脆弱性
- 不適切な認証制御
- セッションIDが推測可能
- セッションフィクセーション検査
- Cookieのsecure属性における問題
- 不適切な認可制御
- 不適切なクエリストリングの利用
- 不適切なCookieの利用
- ログアウト機能における問題
- 不適切なエラーメッセージ
- 不適切なパスワード保存
- エラーページによるWEBアプリケーション情報の漏えい
- 自動返信メールの内容を改ざん可能
- HTTPヘッダにおける問題
- SSIインジェクションの脆弱性
- XMLインジェクションの脆弱性
- XPathインジェクションの脆弱性
- LDAPインジェクションの脆弱性
- hiddenパラメータ改ざんによる不正な情報の登録が可能
- 不適切なhiddenパラメータの利用
- SSLサーバー証明書に問題
- SSLの利用における問題
- クライアントサイドコメントによる情報漏えい
- WEBアプリケーションのロジックに問題
株式会社アルファネットの報告書イメージ
引用元:株式会社アルファネット公式サイト( https://www.anet.co.jp/security/cyber_security/shindan.html )
アルファネットの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。
株式会社アルファネットのその他のサービス一覧
ペネトレーションテスト
(標的型攻撃診断) | 〇 |
|---|
| スマートフォンアプリケーション診断 | 〇 |
|---|
| サーバー診断 | 〇 |
|---|
| ソースコード診断 | - |
|---|
株式会社アルファネットの会社情報
- 所在地
- 東京都文京区後楽1-5-3 後楽国際ビルディング
- TEL
- 03-5800-4311
- 公式サイトURL
- https://www.anet.co.jp/
まとめ
アルファネットのWEBアプリケーション診断には、2種類の診断プランがあります。サイバー攻撃のビジネスインパクトが特に大きい場合は、専門家が実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査を行うアドバンスドプランがお薦めです。
本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。
このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。
