脆弱性診断・セキュリティ診断——攻撃者に見つかる前に、見つける

公開しているWebサイトやアプリ、その裏で動くサーバー。攻撃者は、そのどこかに空いた小さな穴を、日夜さがしています。厄介なのは、穴の存在に、運用している側がなかなか気づけないことです。動いているように見えても、内側は無防備——そんな状態は、決して珍しくありません。

個人情報の流出、サイトの改ざん、サービスの停止。ひとたび事故が起きれば、失うのはデータだけではありません。積み上げてきた信用も、復旧にかかる時間も、まとめて奪われます。しかも被害の多くは、事前に見つけてさえいれば防げたものです。

脆弱性診断は、攻撃者に先回りして、その穴を洗い出す取り組みです。悪用される前に、どこが危ないかを突き止め、塞ぎ方まで示します。何事もなく動いている今こそ、点検の好機です。

AIの活用によるセキュリティの向上
AIによるデータの異常検知と保護

何を、どこまで診るか——診断の種類と選び方

ひとくちに診断といっても、対象はさまざまです。入力フォームやログイン画面を持つWebアプリケーション、サーバーやネットワーク機器、そしてクラウドの設定。それぞれに固有の弱点があり、見るべき勘どころも変わります。御社の環境に合わせて、どこをどこまで診るかを設計します。

診断とよく混同されるのが、ペネトレーションテストです。脆弱性診断が、弱点を漏れなく洗い出す「健康診断」だとすれば、ペネトレーションテストは、実際に攻め込んで目的を達せるか試す「実戦訓練」。目的が違うので、必要な深さに応じて選び分けます。

ツールによる自動スキャンは、広く速く網羅できるのが強みです。ただ、機械だけでは拾えない穴もあります。そこで、技術者の手による診断を組み合わせ、OWASPなどの基準に沿って深く調べます。近ごろは、生成AIを組み込んだアプリならではの弱点も、診断の対象に加わってきました。

脆弱性診断・セキュリティ診断でやること——主な内容

Webアプリケーション診断

フォームやログインなど、Webアプリの弱点を調べます。個人情報を扱う画面ほど、念入りに。

ネットワーク・プラットフォーム診断

サーバーやネットワーク機器の設定を点検します。外から侵入される隙がないかを確かめる工程です。

クラウド環境診断

クラウドの設定に潜む、危うい穴を洗い出します。公開範囲や権限の行き過ぎも、見逃しません。

スマートフォンアプリ診断

iOS・Androidアプリに固有の弱点を調べます。端末に残る情報の扱いまで、目を配る診断です。

ペネトレーションテスト

実際に攻撃者の手口で、攻め込めるかを試します。「本当に守れるのか」を、実戦で確かめる方法です。

手動診断による深掘り

ツールでは拾えない穴を、技術者の目で探します。自動スキャン任せにしない、その一手間が要です。

OWASP基準での網羅

世界標準のOWASPを物差しに、抜けなく診ます。独自の勘だけに頼らない裏づけです。

報告書・改善提案

見つかった弱点を、危険度の順に整理して報告します。直し方まで添えた、そのまま動ける報告書に。

再診断

対策した後、本当に塞がったかを確かめます。直して終わり、にしないための総仕上げです。

AIを活用したセキュリティソリューションのサービス内容
FAQ よくある質問
Q 脆弱性診断とは何ですか?何を調べてもらえますか?
A 脆弱性診断は、攻撃者に先回りして、Webサイトやアプリ、サーバーなどに潜む弱点(セキュリティ上の穴)を洗い出す取り組みです。悪用される前にどこが危ないかを突き止め、塞ぎ方まで示します。動いているように見えても内側は無防備という状態は珍しくありません。事故が起きる前の、何事もなく動いている今こそ点検の好機です。
Q 脆弱性診断の費用はいくらですか?
A 一般的な相場では、小規模なWebアプリケーション診断で数十万円程度、画面数や機能が多いシステムやサーバー・クラウドまで含めると100万〜300万円程度が目安です。診断の対象範囲、画面や機能の数、自動スキャンか手動診断か、ペネトレーションテストの有無によって費用は変動します。御社の環境に合わせて対象を設計します。
Q 脆弱性診断にはどのくらいの期間がかかりますか?
A 一般的には、小規模なWebアプリケーション診断で1〜2週間、対象範囲が広いシステムやサーバー・クラウドを含む診断で3〜6週間程度が目安です。対象の洗い出し、診断の実施、報告書の作成という流れで進めます。画面や機能の数、手動診断による深掘りの範囲によって期間は変動するため、まず対象を絞って診断することもできます。
Q 脆弱性診断とペネトレーションテストの違いは何ですか?
A 脆弱性診断は、弱点を漏れなく洗い出す「健康診断」にあたり、ペネトレーションテストは、実際に攻め込んで目的を達せるか試す「実戦訓練」にあたります。前者は網羅性、後者は特定の目的が達成可能かの実証に重きを置きます。目的が違うため、必要な深さに応じて選び分けます。まず脆弱性診断で全体を把握するのが一般的です。
Q ツールによる自動スキャンと技術者による手動診断はどう違いますか?
A 自動スキャンは、広く速く網羅できるのが強みで、既知の弱点を効率よく洗い出せます。一方、機械だけでは拾えない、ロジックの穴や複雑な条件で起きる弱点もあります。そこを技術者の手による診断で深く調べます。両者を組み合わせ、OWASPなどの基準に沿って診ることで、自動スキャン任せにしない、抜けの少ない診断になります。
Q Webアプリケーション・サーバー・クラウドなど、どこまで診断できますか?
A Webアプリケーション、サーバーやネットワーク機器、クラウドの設定、iOS・Androidのスマートフォンアプリまで幅広く対応できます。それぞれに固有の弱点があり、見るべき勘どころも変わります。入力フォームやログイン画面を持つWebアプリ、公開範囲や権限が行き過ぎていないかのクラウド設定など、御社の環境に合わせてどこまで診るかを設計します。
Q 診断はOWASPなどの基準に沿って行われますか?
A はい、OWASPなどの世界標準を物差しに、抜けなく診断します。独自の勘だけに頼らず、国際的に認知された基準に沿うことで、見るべき項目を網羅し、診断の裏づけを確かなものにします。近ごろは、生成AIを組み込んだアプリならではの弱点も診断の対象に加わっています。基準に沿った診断で、対策の優先順位も判断しやすくなります。
Q 診断後は報告書や改善提案をもらえますか?
A はい、お渡しします。株式会社一創では、見つかった弱点を危険度の高い順に整理し、直し方まで添えた、そのまま対応に動ける報告書を提供します。どこが危ないかを指摘するだけでなく、何から手をつければ効くのかがわかる形にまとめます。専門知識がなくても優先順位を判断できるよう、改善提案までセットで報告します。
Q 対策した後に、本当に脆弱性が塞がったか確認してもらえますか?(再診断)
A はい、対応します。報告書をもとに対策を実施した後、その弱点が本当に塞がったかを確かめる再診断を行います。直したつもりでも対策が不十分なことや、別の問題が残ることもあるため、この総仕上げが欠かせません。「直して終わり」にせず、確かに塞がったことを確認するまでが一連の診断だと考えて進めます。
Q 生成AIを組み込んだアプリ特有の脆弱性も診断できますか?
A はい、対応できます。生成AIを組み込んだアプリには、不正な指示でAIを誤動作させるプロンプトインジェクションなど、従来のアプリにはなかった固有の弱点があります。こうした生成AIならではのリスクも診断の対象に加え、OWASPなどの基準とあわせて調べます。新しい技術を使うアプリほど、公開前の点検が重要になります。

OTHER SERVICE その他のWebシステム開発サービス一覧