診断手法と
対象範囲
どんな観点で・どこまで診断するか。
9,000項目以上の根拠と OWASP Top 10 対応を公開します。
診断の進め方
1. 自動スキャン
9,000項目以上のテストパターンを持つ脆弱性診断ツールで、外部から到達可能な範囲を網羅的にスキャンします。
2. 担当者による確認
自動診断の結果を担当者が確認し、誤検知の除去と再現性の検証を行います。認可制御や業務ロジックの問題は手動で確認します。
3. レポート提供
検出した問題、再現手順、推奨対策を整理した50〜200ページのレポートを提供します。
「9,000項目以上」の根拠
セキュリティー診断さんでは、外部からアクセス可能な範囲に対して、 9,000以上のテストパターンを持つ脆弱性診断ツールでスキャンを実施します。 この数字は、公開された脆弱性データベース(CVE)と OWASP Top 10 をはじめとする Web セキュリティのチェックリストを統合した、ツール内蔵のテストパターン数に基づくものです。
すべてのテストパターンを毎回フルで実施するわけではなく、 対象サイトの構成(CMS、フレームワーク、公開ポート等)を踏まえて 関連するパターンを選択して実行します。 どの観点を確認したかは完了後のレポートで明示します。
※ 個別のテストパターン一覧は、診断の有効性維持のためすべては公開していません。
OWASP Top 10 対応表
業界標準の脆弱性カテゴリ OWASP Top 10:2021 の全カテゴリに対応した観点で診断を実施しています。
| カテゴリ | 概要 | 対応 |
|---|---|---|
| A01: アクセス制御の不備 | 権限昇格・水平権限・URL直接アクセスなど | |
| A02: 暗号処理の失敗 | TLS設定・弱い暗号・平文送信 | |
| A03: インジェクション | SQL/コマンド/LDAPインジェクション、XSS | |
| A04: 安全でない設計 | 設計レベルの欠陥(手動レビューで補完) | |
| A05: セキュリティの設定ミス | デフォルト設定・不要ポート・冗長エラー出力 | |
| A06: 脆弱なコンポーネント | CMS・ライブラリ・ミドルウェアの既知CVE | |
| A07: 識別と認証の失敗 | セッション固定・ブルートフォース耐性 | |
| A08: ソフトウェアとデータの整合性の不備 | 安全でないデシリアライズ・CI/CDの設定 | |
| A09: セキュリティロギングと監視の失敗 | 外部から確認できる範囲のログ設計 | |
| A10: サーバーサイドリクエストフォージェリ (SSRF) | 内部リソース誘導の可否確認 |
診断の対象と対象外
診断対象
- ●Webサイト / Webアプリケーション(1ドメイン単位)
- ●外部から到達可能な公開エンドポイント
- ●CMS・フレームワークの既知の脆弱性
- ●認証/認可・セッション管理の欠陥
- ●TLS/HTTPヘッダなどの設定不備
対象外
- ●物理セキュリティ(建物・機材)
- ●ソーシャルエンジニアリング
- ●クライアント端末への直接攻撃
- ●申込み対象外のサブドメイン / 別ドメイン
- ●負荷をかける能動的攻撃(DoS など)
本番環境への配慮
セキュリティー診断は本番環境を対象に実施することが多いため、サービスへの影響を最小限に抑える設計にしています。
- デフォルトでは DoS など負荷の高い能動的攻撃は実施しません。
- 本番影響の可能性がある項目は、事前にお客様と実施可否を確認します。
- 診断開始前に、対象サイトの所有確認を必ず実施します。
- 診断中に発見された深刻な脆弱性は、レポート完成を待たずに連絡する場合があります。