株式会社クレスコ

株式会社クレスコは、豊富な経験と長年培ってきたシステム開発技術をもとに、ITサービス事業、デジタルソリューション事業を展開している会社です。ここでは、株式会社クレスコが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。

引用元：株式会社クレスコ公式サイト（ https://www.cresco.co.jp/ ）

株式会社クレスコの特徴

セキュリティ脆弱性診断が求められる背景

セキュリティ脆弱性診断はシステムの健康診断といえるサービスで、定期的にセキュリティ状態を把握し、効果的な対策をとるために実施すべきです。サイバー攻撃にあうと自社が被害者になってしまうだけでなく、「自社が加害者」となってしまう可能性もあります。

導入後にメンテナンスをしていないシステムは、設定ミスや不要なサービスの稼働などによってサイバー攻撃の格好の餌食となってしまうのです。

外部からの擬似攻撃と純国産の診断ツール

WEBアプリケーションに潜む脆弱性や潜在要因を診断するために、WEBサーバー上で稼動するアプリケーションに対し、経験豊かなセキュリティ技術者が外部から擬似攻撃を行います。純国産の診断ツールを用いて、日本国内におけるセキュリティのトレンドを組み込んだ診断や、日本語（マルチバイト文字）に対応した診断を行います。

これによりネットショップサイトの価格改ざん、WEBサイトの機密情報漏洩、フィッシング、なりすましなどの危険性を洗い出すことができます。

株式会社クレスコの技術力・品質

• ISO/IEC27001の認証
• プライバシーマーク

株式会社クレスコの診断実績

従業員数1,000名以上の製造業

従業員数1,000名以上の製造業において、社外向け新サービスのリリースにあたり、脆弱性がないか確認が必要であったため、株式会社クレスコのWEBアプリケーション診断サービスを利用しました。

人材派遣業の脆弱性診断

従業員数1,000名以上人材の派遣業の公開中の会員向けWEBサイトについて、セキュリティ上の課題を把握するために、株式会社クレスコのWEBアプリケーション診断を利用しました。

株式会社クレスコの費用

株式会社クレスコの費用は公式サイトで確認できませんでした。

株式会社クレスコの診断項目

• SQLインジェクション
• OSコマンドインジェクション
• パラメータ操作による脆弱性
• クロスサイトスクリプティング
• セキュア属性の無いCookie
• 不要なエラーコードの表示
• バッファーオーバーフロー
• クロスサイト・リクエスト・フォージェリ
• セッション管理に関する問題
• プロトコルの不適切な適用
• 不要なエラーメッセージの表示
• HTML5のクロスオリジン設定に関する問題
• HTML5のレスポンスヘッダに関する問題
• SandBox属性の無いインラインフレーム
• WEBサーバー設定ミスによるサーバー情報、アプリ情報の漏えい
• WEBサーバーのディレクトリやファイルの不適切な公開設定
• WEBサーバーの既知の脆弱性

株式会社クレスコの報告書イメージ

引用元：株式会社クレスコ公式サイト（ https://wakuwaku.cresco.co.jp/solution/security-diagnosis ）

株式会社クレスコの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。

株式会社クレスコのその他のサービス一覧

株式会社クレスコの会社情報

まとめ

株式会社クレスコWEBアプリケーション診断は、WEBサーバー上で稼動するアプリケーションに対し、経験豊かなセキュリティ技術者が外部から擬似攻撃を行います。また、日本国内におけるセキュリティのトレンドを組み込んだ診断や日本語（マルチバイト文字）に対応した診断も行います。

本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。

このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。