「WEBアプリケーション脆弱性診断サービス」は、業界標準の脆弱性項目にNHNテコラスのノウハウを組み込んで作成したチェックリストに沿って診断する。診断結果については、脆弱性のリストアップだけにとどまらず、発見された個々の脆弱性から想定される「攻撃手法」や「被害規模・範囲」も提示し、それらの脆弱性を除去するための対策について、専門のセキュリティコンサルタントがアドバイスする。
また、より専門的かつ包括的な診断サービスを希望する場合は、Webアプリケーションだけでなく、OSやミドルウェア、ネットワークなどをトータルで診断するAdvancedプランを用意し、多様なニーズに応えるとしている。
このサービスの具体的な特徴は次のとおり。
・業界標準の脆弱性項目に準拠:診断の各項目は、「OWASP TOP 10」や「CWE/SANS TOP 25」などの業界標準の脆弱性項目に準拠。
・NHNテコラスが保有する豊富な経験とナレッジ:NHNテコラスでは、過去10年間で延べ2,000サイトの診断実績を保有している。業界標準の脆弱性項目に、長年にわたって蓄積してきたノウハウ、経験を加えて診断する。
・最新の脆弱性に対応:NHNテコラスのCSIRT(Computer Security Incident Response Team)組織と連携し、最新の脆弱性に関する情報を随時アップデート。ゼロデイアタックを防止。
・自動点検と手動点検によるダブルチェック:自動スキャンツールによる検証と手動による検証を組み合わせてチェックすることで、脆弱性の漏れを最小化し、信頼性の高い診断結果を提供。
・診断結果のフィードバックおよび対策の提案:診断結果報告書においては、単なる結果のフィードバックにとどまらず、発見された脆弱性の緊急度を明示。また、それらの脆弱性の除去方法などの具体的な対策を提案。
・専門的かつ包括的な診断サービスAdvancedプランを用意:Advancedプランでは、専門コンサルタントがWebアプリケーションサービスを総合的に分析し、対象をOSやミドルウェア、ネットワークまで広げて、幅広いスコープで診断を実施。診断方法は、求められるセキュリティレベルに応じ、ペネトレーションテスト、ネットワーク構成レビュー、サーバ診断、ソースコードレビューなど多様な方法を提案。
・定期診断を対象としたお得なチケットを販売:診断実施後、同一ドメインの再診断を希望する場合は、お得な定期診断チケット(1年間有効)を販売。脆弱性の対策実施後の再チェックだけでなく、緊急パッチの適用やサイトの改修などで再診断が必要な場合に利用できる。
