株式会社セキュアスカイ・テクノロジー

株式会社セキュアスカイ・テクノロジーは、インターネットの安全な状態を追求し続けている会社です。ここでは、セキュアスカイ・テクノロジーが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。

引用元：株式会社セキュアスカイ・テクノロジー公式サイト（ https://www.securesky-tech.com/ ）

株式会社セキュアスカイ・テクノロジーの特徴

新しい攻撃、検出方法、診断員からのフィードバックをもとに機能強化

セキュアスカイ・テクノロジーでは、診断対象のWEBサーバーに対し、同社のセキュリティエンジニアがインターネットを経由してリモートで診断を行うWEBアプリケーション診断サービスを提供しています。

サービスの特徴として、自社開発された診断ツールを採用。新たな攻撃、検出方法や診断員のフィードバックをもとに機能の強化を行っています。

セキュリティエンジニアによる手動診断・ツール診断結果を手動で確認

セキュアスカイ・テクノロジーのWEBアプリケーション診断サービスでは、セキュリティエンジニアによって自動診断ツールでは検出できない脆弱性（権限周りを含む認証・承認系）を検出。また同社では、ツール診断で検出された結果でも手動で再度確認し、報告書を提出しています。

株式会社セキュアスカイ・テクノロジーの技術力・品質

セキュアスカイ・テクノロジーの技術力・品質は公式サイトで確認できませんでした。

株式会社セキュアスカイ・テクノロジーの診断実績

セキュアスカイ・テクノロジーでのWEBアプリケーション診断の事例は公式サイトで確認できませんでした。

株式会社セキュアスカイ・テクノロジーの費用

株式会社セキュアスカイ・テクノロジーの診断項目

認証

• パスワードポリシー
• 不適切な認証
• 脆弱なパスワードリマインダ

承認

• セッションの推測
• 不適切な承認
• セッションの固定
CSRF（Cross Site Request Forgeries）

クライアント側での攻撃

• クロスサイトスクリプティング
• コンテンツの詐称

コマンドの実行

• バッファオーバーフロー
• 書式文字列攻撃
• LDAPインジェクション
• OSコマンドインジェクション
• SQLインジェクション
• SSIインジェクション
• XPathインジェクション

情報公開

• ディレクトリインデクシング
• ソース記載による情報漏えい
• 推測可能なリソース位置

ロジックを狙った攻撃

• 機能の悪用
• パス・トラバーサル
• リダイレクタ
• 不適切なプロセスの検証

株式会社セキュアスカイ・テクノロジーの報告書イメージ

引用元：株式会社セキュアスカイ・テクノロジー公式サイト（ https://www.securesky-tech.com/service/assessment/web-application/ ）

セキュアスカイ・テクノロジーの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。

株式会社セキュアスカイ・テクノロジーのその他のサービス一覧

※お客様側での改修実施後に、危険度「Medium」以上の脆弱性を対象に無償（1案件1回限り）で再診断を実施

株式会社セキュアスカイ・テクノロジーの会社情報

まとめ

セキュアスカイ・テクノロジーのWEBアプリケーション診断サービスは、自社開発診断ツールとセキュリティエンジニアによる手動診断で、細部にわたり脆弱性の検出をおこなっています。

本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。

このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。