SOMPOリスクマネジメント株式会社
SOMPOリスクマネジメント株式会社は、「安心・安全・健康のテーマパーク」をスローガンとするSOMPOグループが立ち上げたサイバーセキュリティ事業部です。ここでは、SOMPOリスクマネジメントが提供しているWEBアプリケーションの脆弱性診断について調査しました。特徴や費用、診断項目などをまとめています。
引用元:SOMPOリスクマネジメント株式会社公式サイト( https://www.sompocybersecurity.com/index.html )
SOMPOリスクマネジメント株式会社の特徴
お客様のセキュリティ対策をサポート
SOMPOリスクマネジメントでは、お客様の大切な情報資産においてセキュリティの欠陥をよく分かっているのは、実はお客様自身だと考えています。同社は、ヒアリングやシステム的な診断を通じて潜在的なリスクや守りたい情報資産を可視化して、お客様自身がセキュリティ対策の重要性を認識し、優先順位をつけて実施できるようにサポートしています。
バランスのとれたセキュリティ対策
日本のサイバーセキュリティでは、次世代ファイヤーウォールやサウンドボックス、AI、EDRなどソリューションの登場で、攻撃段階後半の対策が重要視されています。これは、サイバー攻撃を受ける前提とした考え方です。しかしこの考え方では、サイバー保険などのコストはカバーできたとしても、MDRなどを含むインシデントレスポンスコストや、顧客からの信頼を失うなどの大きな損失を生みかねません。
SOMPOリスクマネジメントでは、ソフト開発で使われていた「シフトレス」の考え方を取り入れ、キルチェーンより早い段階のプロアクティブ対応を支援。バランスのとれたセキュリティ対策を提案しています。
SOMPOリスクマネジメント株式会社の技術力・品質
SOMPOリスクマネジメントの技術力・品質は公式サイトで確認できませんでした。
SOMPOリスクマネジメント株式会社の診断実績
金融業界全体のサイバーセキュリティの底上げ
横浜銀行では、金融業界のサイバーセキュリティを取り巻く環境が、この10年ほど変化がないことから、サプライチェーンリスク評価サービス「Panorays」を採用しサプライチェーン管理とセキュリティの向上を目指しています。
セキュリティリスクマネジメント「MEDIGATE」
医療機関向け、セキュリティリスクマネジメント「MEDIGATE」のNTT東日本関東病院様へ導入しました。(事例の詳しい内容については個人の登録が必要なため記載できませんでした。)
WEBアプリケーションの脆弱性診断を行う会社の選び方について、
単発で依頼するのか、継続して依頼するのかなど、
自社の状況や課題に応じた依頼方法を考えましょう。
当メディアでは、「セキュリティ性」に着目し、
おすすめのWEBアプリケーションの脆弱性診断を提供している会社を紹介しています。
ご検討中の方はぜひ参考にしてください。
SOMPOリスクマネジメント株式会社の費用
| WEBアプリケーション脆弱性診断 | 記載なし |
|---|
| WEBアプリケーション脆弱性診断<Lightプラン> | 1ドメイン定額 297,000円(税込) |
|---|
WEBアプリケーション診断
費用について見る
SOMPOリスクマネジメント株式会社の診断項目
WEBアプリケーション診断
- 入出力処理
・クロスサイトスクリプティング(XSS)
・SQLインジェクション
・コマンドインジェクション
・ディレクトリトラバーサル
・ファイルアップロード
・HTTPヘッダインジェクション
・フィッシング詐欺サイトへの誘導
・パラメータ改ざん
・メールの第三者中継
- 認証
・ログインフォームに関する調査
・ログインエラーメッセージの調査
・ログイン・個人情報の送受信に関する調査
・アカウントロック機能
・ログアウト機能
・認証の回避
- 認可
・権限昇格
・権限のない情報へのアクセス
- セッション管理
・Cookieのsecure属性
・Cookieの有効期限
・セッションIDのランダム性確認
・セッション固定
・セッションの強制指定
・クロスサイト・リクエスト・フォージェリ(CSRF)
- WEBサーバー設定
・許可されているHTTPメソッド
・サーバーエラーメッセージ
・システム情報の開示
- WEB 2.0
・Flashコンテンツの脆弱性
・Ajaxコンテンツの脆弱性
- 一般的な脆弱性
・既知のソフトウェア脆弱性
・強制ブラウジング
・ディレクトリリスティング
WEBアプリケーション診断 ライトプラン
- WEBサーバーのセキュリティ設定は安全にできているか
- クロスサイトスクリプティング、SQL インジェクションのような脆弱性が存在するか
- HTMLソースコードに重要情報が存在するか
- 管理者ページURLが表示されたりアクセスできたりするか
- フィッシングサイトへの誘導が可能か
SOMPOリスクマネジメント株式会社の報告書イメージ
引用元:SOMPOリスクマネジメント株式会社公式サイト( https://www.sompocybersecurity.com/service/service04.html )
SOMPOリスクマネジメントの脆弱性診断の報告書イメージは上記の通りです。診断報告書は企業によって形式や項目が異なるため、依頼する際の参考にしてみてください。
SOMPOリスクマネジメント株式会社のその他のサービス一覧
ペネトレーションテスト
(標的型攻撃診断) | 〇 |
|---|
| スマートフォンアプリケーション診断 | 〇 |
|---|
| サーバー診断 | 〇 |
|---|
| ソースコード診断 | - |
|---|
SOMPOリスクマネジメント株式会社の会社情報
- 所在地
- 東京都新宿区西新宿1-24-1
- TEL
- 記載なし
- 公式サイトURL
- https://www.sompocybersecurity.com/
まとめ
SOMPOリスクマネジメントは、お客様の大切な情報資産のセキュリティの欠陥はお客様自身が一番よくわかっていると考え、ヒアリングとシステム的な診断をすることで潜在的なリスク、守りたい情報資産を可視化しています。これらをもとに、お客様自身でセキュリティ対策の優先順位をつけて行っていくサポートを提供しています。
本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。
このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。
