株式会社SHIFT SECURITY

株式会社SHIFT SECURITYは、開発から運営まで全工程でセキュリティソリューションを提供している会社です。ここでは、株式会社SHIFT SECURITYが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。

引用元：株式会社SHIFT SECURITY公式サイト（ https://www.shiftsecurity.jp/ ）

株式会社SHIFT SECURITYの特徴

標準化による低価格・短納期と安定の高品質

SHIFT SECURITYのWEBアプリケーション診断は、標準化したことで属人性を排除し、安定して高品質を実現しています。特殊なスキルを持ったホワイトハッカーによる属人性の高い診断になりがちな従来の脆弱性診断とは異なり、担当者が変わると「結果に差異がある」「網羅性が見えない」など、診断品質がバラついてしまうような問題はありません。さらに、診断プロセスが仕組化されており、低コストと短納期を実現します。

客観的に第三者機関として脆弱性のリスク評価を可視化

組織内における脆弱性対応の基準策定を支援し、妥当性の高い脆弱性対応の優先順位付けを行います。客観的に第三者機関として脆弱性のリスク評価を可視化。「共通脆弱性評価システムCVSS」に基づいた評価基準と診断で発見された脆弱性を照らし合わせ、定量的なリスク評価を脆弱性リスク評価の共通言語で行った上でお客様に報告します。

実際に情報の入手や不正な操作を試行

各種インジェクション系などの緊急度の高い脆弱性が検出された場合には、実際に不正な操作や情報の入手を試行した結果が報告されます。また、「アクセス制御の回避」、「権限外のリソースへのアクセス・情報の更新」、「機密情報の暴露・入手」といった発見が困難な脆弱性をツールに頼らない手動診断で検出します。

株式会社SHIFT SECURITYの技術力・品質

• ISMS
• QMS
• ISO認証

株式会社SHIFT SECURITYの診断実績

コストが安いだけじゃなく 「品質」も高い

ニッセンホールディングスは、当時依頼していたベンダーと比べて、SHIFT SECURITYの診断方法・診断後のサポートなどが優れていると判断して依頼した結果、コストが安いだけじゃなく 「品質」も高く、そのパフォーマンスに満足しています。

株式会社SHIFT SECURITYの費用

WEBアプリケーション診断

株式会社SHIFT SECURITYの診断項目

ASVS・OWASP TOP10 など

• SQLインジェクション
• XSS（クロスサイトスクリプティング）
• CSRF（クロスサイト・リクエスト・フォージェリ）
• その他国際基準で定められた全WEBアプリケーションで確認すべき診断項目

アクセス制御の有効性

セッション管理・認証要件

株式会社SHIFT SECURITYの報告書イメージ

引用元：株式会社SHIFT SECURITY公式サイト（ https://www.shiftsecurity.jp/web/ ）

引用元：株式会社SHIFT SECURITY公式サイト（ https://www.shiftsecurity.jp/web/ ）

引用元：株式会社SHIFT SECURITY公式サイト（ https://www.shiftsecurity.jp/web/ ）

SHIFT SECURITYの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。

株式会社SHIFT SECURITYのその他のサービス一覧

株式会社SHIFT SECURITYの会社情報

まとめ

SHIFT SECURITYのWEBアプリケーション診断は、発見が困難な脆弱性を、ツールに頼らない手動診断で検出します。標準化によって低価格・短納期と安定の高品質を実現し、客観的で定量的なリスク評価が報告されます。また、緊急度の高い脆弱性に対しては、実際に不正な操作や情報の入手を試行します。

本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。

このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。