GMOサイバーセキュリティ byイエラエ株式会社
GMOサイバーセキュリティ byイエラエ株式会社は、脆弱性診断に特化した情報セキュリティ企業です。ここでは、GMOサイバーセキュリティ byイエラエが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。
引用元:GMOサイバーセキュリティ byイエラエ株式会社公式サイト( https://gmo-cybersecurity.com/ )
GMOサイバーセキュリティ byイエラエ株式会社の特徴
危険性の高い脆弱性は速報で報告
GMOサイバーセキュリティ byイエラエがサービス提供するWEBアプリケーション診断には、さまざまな特徴があります。
診断ツールの効率性を活かしながら、誤った検知や識別が難しい脆弱性は専門家の診断員が一つ一つ目でチェック。漏れがないように脆弱性を洗い出します。リアルタイムチャットやゲームで用いられるWeb SocketやMQTT、gRPC、クラウド系Firebase、GraphQL、Salesforceなどのプロトコルなどにも対応可能です。
危険性の高い脆弱性は、発見の翌営業日に再現方法を速報で報告。診断対象の概要報告や脆弱性の詳細な解説はもちろん、再現方法を含めた対策方法をお客様のWEBアプリケーションの特性に応じて解説しています。
手動診断も含めたお手頃プライス
GMOサイバーセキュリティ byイエラエは、手頃な価格でWEBアプリケーション脆弱性の検出を行うサービスプランの「おまかせWebアプリケーション診断」を提供。同サービスは、ホワイトハッカーがツール診断と手動診断を行うプランです。ファイルのアップロードやログイン権限周りなど、ツール診断では認識できない脆弱性を仮想攻撃者の視点で発見し、診断を行います。
GMOサイバーセキュリティ byイエラエ株式会社の技術力・品質
OSCP・JGISP・CISSP・テクニカルエンジニア(ネットワーク)・テクニカルエンジニア(情報セキュリティ)・情報セキュリティアドミニストレータ保有者が在籍
GMOサイバーセキュリティ byイエラエ株式会社の診断実績
手段を選ばないレッドチームによるサイバーレジリエンスの実践的評価
Sansanで同社のレッドチーム演習サービスが採用されました。これまでのペネトレーションテストと比較して圧倒的に実践感が強く非常に満足しています。実際に高スキルな攻撃者に狙われた場合の被害の大きさや対策の難しさについて、強く実感することができましたと高い評価をいただきました。
安全性の高いDX推進を実現するセキュリティパートナー
金融機関様をはじめとしてミッションクリティカルなシステムを顧客に提供しているシンプレクスで、同社のセキュリティ診断が採用されています。セキュリティ品質改善のスピード向上に役立っていると感じています。再診断についても調整をスムーズに実施いただけることで、スケジュールの遅延がなく実施することができました。
WEBアプリケーションの脆弱性診断を行う会社の選び方について、
単発で依頼するのか、継続して依頼するのかなど、
自社の状況や課題に応じた依頼方法を考えましょう。
当メディアでは、「セキュリティ性」に着目し、
おすすめのWEBアプリケーションの脆弱性診断を提供している会社を紹介しています。
ご検討中の方はぜひ参考にしてください。
GMOサイバーセキュリティ byイエラエ株式会社の費用
| WEBアプリケーション診断 | 要お見積り |
|---|
| おまかせWebアプリケーション診断 | 要お見積り |
|---|
| Webアプリケーション診断 GraphQL | 要お見積り |
|---|
GMOサイバーセキュリティ byイエラエ株式会社の診断項目
- 不正なスクリプト挿入
- セッション管理
- ユーザー認証関連の閲覧性
- データベースへの不正アクセスの可能性
入出力処理に関する脆弱性
- クロスサイトスクリプティング
- SQLインジェクション
- OSコマンドインジェクション
- HTTPヘッダインジェクション
- メールヘッダインジェクション
- XXEインジェクション
- LDAPインジェクション
- その他各種インジェクション
- オープンリダイレクト
- ディレクトリトラバーサル
- ファイルインクルージョン
- 任意ファイルのアップロード及び公開
- バッファオーバーフロー
- 入力値フィルタの回避
- 安全でないデシリアライゼーションの可能性
認証に関する脆弱性
- ログインフォームおよび秘密情報の入力フォームに関する調査
- エラーメッセージによる情報推測
- 平文による秘密情報の送受信
- アカウントロックアウトの不備
- ログアウト機能の不備
- パスワード変更または再発行機能の悪用
- 強制ブラウズ
- 認証の不備
認可に関する脆弱性
セッション管理に関する脆弱性
- Secure属性のないセッション管理用Cookie
- 長いセッション有効期限
- 強度の低いセッションID
- セッションフィクセーション
- セッション管理方法の不備
- クロスサイト・リクエスト・フォージェリ
WEBサーバー設定に関する脆弱性
- 許可されているHTTPメソッド
- ディレクトリリスティング
- システム情報の表示
- 管理画面の検出
- TLS / SSL 関連
クライアントサイド技術に関する脆弱性
- 適切でないCross Origin Resource Sharingポリシー設定
- Same Origin Policy 回避につながる脆弱性
一般的な脆弱性
- 既知の脆弱性が存在するソフトウェア
- 不用意な情報公開
アプリケーション仕様や設計に起因する脆弱性
- ロジック上の問題点
- サービス妨害
- キャッシュ制御の不備
- 秘密情報を含むURL
- クリックジャッキング
- レースコンディション状態の悪用
- システムのSPAM行為への悪用
※「おまかせWebアプリケーション診断」通常診断の範囲による。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
GMOサイバーセキュリティ byイエラエ株式会社の報告書イメージ
引用元:GMOサイバーセキュリティ byイエラエ株式会社公式サイト( https://gmo-cybersecurity.com/service/web-application/ )
GMOサイバーセキュリティ byイエラエの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。
GMOサイバーセキュリティ byイエラエ株式会社のその他のサービス一覧
ペネトレーションテスト
(標的型攻撃診断) | 〇 |
|---|
| スマートフォンアプリケーション診断 | 〇 |
|---|
| サーバー診断 | 〇 |
|---|
| ソースコード診断 | 〇 |
|---|
GMOサイバーセキュリティ byイエラエ株式会社の会社情報
- 所在地
- 東京都渋谷区桜丘町26-1
- TEL
- 記載なし
- 公式サイトURL
- https://gmo-cybersecurity.com/
まとめ
GMOサイバーセキュリティ byイエラエは、ツールとホワイトハッカーによる仮想攻撃者の視点でWEBアプリケーションの脆弱性診断サービスを提供しています。またリアルタイムチャットやゲームで用いられるWeb SocketやMQTT、gRPC、クラウド系Firebase、GraphQL、Salesforceなどのプロトコルにも対応可能です。
本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。
このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。
