株式会社ヴェス
株式会社ヴェスは、IT関連製品を検証し、品質を評価する第三者検証を手がけている企業です。さまざまな検証を行なってきた経験を活かし、高品質・低コスト・短納期を実現した検証を行っています。
こちらの記事では、同社が手がけているWebアプリケーションの脆弱性に関する診断についての情報をまとめました。
引用元:株式会社ヴェス公式サイト(https://www.ves.co.jp)
株式会社ヴェスの特徴
不正アクセスを模擬した攻撃により脆弱性を検出
ヴェスで提供しているWebアプリケーション診断とは、対象のWebサイトで動作しているWebアプリケーションに対し、不正アクセスを模擬した攻撃を行うことによって脆弱性の検出を行っていきます。
脆弱性診断においては、「自動診断」と「手動診断」の双方を組み合わせたハブリッド診断を行っている点が特徴。そして診断の結果については、脆弱性の原因や問題箇所、修正の方法などに加えて、診断結果からのリスク分析といった点までをまとめた報告書が提出されます。
クライアントのニーズに合わせた形での診断が可能
「Webアプリケーション標準診断」「Webアプリケーション特級診断」「カスタマイズ診断コース」といった3種類の診断コースを用意している点も特徴となっています。このことから、クライアント企業のニーズに合わせた形での診断が行えます。
株式会社ヴェスの技術力・品質
- ISTQBのゴールドパートナー
- IVECプラチナパートナー
株式会社ヴェスの診断実績
スマホアプリ開発会社のアプリ検証
スマートフォンアプリの開発を手掛けていたF社では、これまでアプリの開発により業績を伸ばしてきたものの、競争の激化と開発期間の短縮化によって、アプリ検証においてリソース不足などの課題を抱えていました。この課題を解決するためにヴェスの第三者検証サービスを採用。その結果、低コストにより検証に関わるリソース不足の解消、さらに漏れのない検証を行えることから、品質向上につながっています。
テスト工程の見直し
コンシューマ向けSaaSアプリケーションおよびシステムの設計・開発を行うD社では、リリース後のサービスに何度も不具合が見つかったことから、テスト工程の見直しを行いました。その結果、テスト効率の改善と、アプリケーションの不具合箇所の特定を行うことができ、新たなアプリケーションサービスをリリースしています。
WEBアプリケーションの脆弱性診断を行う会社の選び方について、
単発で依頼するのか、継続して依頼するのかなど、
自社の状況や課題に応じた依頼方法を考えましょう。
当メディアでは、「セキュリティ性」に着目し、
おすすめのWEBアプリケーションの脆弱性診断を提供している会社を紹介しています。
ご検討中の方はぜひ参考にしてください。
株式会社ヴェスの費用
株式会社ヴェスの費用は公式サイトで確認できませんでした。
株式会社ヴェスの診断項目
- アクセス制御の欠如
- ファイルに対するアクセス制御の欠如
- ユーザ識別の欠如
- ID 空間の小さすぎるセッション追跡パラメータの使用
- 規則的なセッション追跡パラメータの使用
- 推測可能なセッション追跡パラメータの使用
- URL パラメータによるセッション追跡
- 外部サイトへのリンクでセッション追跡パラメータがRefererとして漏えいする
- cookieによるセッション追跡
- TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
- 暗号化されないアクセスに個人情報が含まれる
- 暗号化されないアクセスにセッション追跡パラメータが含まれる
- 暗号化されないページへのリンクでのセッション追跡パラメータReferer送出
- 暗号化されないページへのリンクでのセッション追跡用cookie平文送出
- セキュアでないcookieの使用
- http上のログイン画面
- ルートフレームがhttpにあるサブフレーム上のログイン画面
- 異なるセッションで同一セッション追跡パラメータの使用
- 永続的cookieの使用
- ログアウト機能の欠如
- ログアウト後のサーバセッションの残存
- サーバセッションの長時間にわたる残存
- クレジットカード番号の表示
- パスワードの出力
- 再認証などWebProde対象外の脆弱性
- パラメータの改ざん
- Hidden フィールドの不正操作
- クロスサイトスクリプティング(XSS)
- バッファオーバーフロー
- コマンド・インジェクション
- SQL インジェクション
- 強制ブラウジング
- サードパーティ製品の設定ミス
- 既知の脆弱性
- バックアップファイルの検出
- バックドアとデバッグオプション
- HTML 中のコメント
- ディレクトリトラバーサル
- 不適切なエラーハンドリング
- クロスサイトリクエストフォージェリ(CSRF)
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
株式会社ヴェスの報告書イメージ
株式会社ヴェスでのWEBアプリケーション診断の報告書イメージは公式サイトで確認できませんでした。
株式会社ヴェスのその他のサービス一覧
ペネトレーションテスト
(標的型攻撃診断) |
〇 |
| スマートフォンアプリケーション診断 |
〇 |
| サーバー診断 |
- |
| ソースコード診断 |
- |
株式会社ヴェスの会社情報
- 所在地
- 東京都新宿区四谷2-11-6 FORECAST四谷7F
- TEL
- 03-6457-7750
- 公式サイトURL
- https://www.ves.co.jp
まとめ
こちらのページでは、株式会社ヴェスが手がけているWebアプリケーション診断をについて紹介してきました。
同社では、対象となるWebアプリケーションに対して、不正アクセスを模した攻撃を行い、診断を行うといった流れになっています。そのほか、多彩な診断に対応している点も同社の特徴のひとつといえるでしょう。
本サイトでは、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりなど、特に信頼のおける【WEBアプリケーションの脆弱性診断会社】を2社、状況・課題別に紹介しています。
このページをご覧になったうえで気になった方は、ぜひ下記2選をご確認いただき、各社へ問い合わせてみてはいかがでしょうか。
