SQLインジェクション・クロスサイトスクリプティングといった、Webアプリケーションに存在する設計上や実装上の欠陥や弱点（脆弱性）を精緻かつ網羅的に探索しリスクを評価します。
ディーゴでは診断項目としてOWASP ASVS(V5.0 Lv1)、OWASP Web Security Testing Guide をカバーし、OWASP Top Ten(2017)の視点を取り入れた国際的な基準に則った診断項目を設定しています。 検出した個々の脆弱性は全て詳細に解析した上で国際基準 CVSS(V3.1)によるリスク評価を行ない、分かりやすい再現手順と対策案とをあわせて診断結果の報告をいたします。
また、リスクが高いと考えられる脆弱性については報告書の完成を待たずに一早くお伝えいたします。（速報）

Webアプリケーション脆弱性診断の特長

国際基準に合わせた診断項目

診断項目は、実質的なWebアプリケーションの国際基準となっている、OWASP ASVSのLV1を網羅し、同じくOWASPが提案しているセキュリティテストガイドである、OWASP Web Security Testing Guideのテスト項目を網羅して実施しています。診断仕様にあげているOWASP Top Tenは網羅性を持ったリストではありませんが、最も危険な脆弱性として提示されているリストとなりますので、Top Tenについては、より深堀した項目をテストしています。

高い基準のセキュリティエンジニアが診断しています

弊社では、社内規定により一定の技術基準を満たしているシニアセキュリティエンジニアを認定し、どの診断プロジェクトにおいても、シニアセキュリティエンジニアが診断内容・結果についてチェック・レビューを行うルールを設けています。弊社セキュリティエンジニアはセキュリティコミュニティでの講演活動などサイバーセキュリティの意識喚起・技術向上の社会貢献活動を積極的に行っています。

開発技術も取り入れた診断

弊社のサイバーセキュリティ技術は、IT開発技術の上に構築しています。開発者・設計者の目線からも診断対象を確認しており、診断対象固有のビジネスロジックに関わる脆弱性も深く診断しています。

WEBアプリケーション脆弱性診断仕様

本脆弱性診断の診断仕様は以下となります。

診断項目

本脆弱性診断の診断項目は以下リストのチェック項目を網羅します。

• OWASP ASVS(V5.0 LV1)
• OWASP Web Security Testing Guide(V4.2)
• OWASP Top Ten(2017)

診断ツール

本脆弱性診断の自動診断は以下ツールを用いて行います。

• Burp Suite Professional

手動診断

診断ツールによる自動診断でカバーされない項目・別途手動診断を行うべき項目については、手動診断にて診断を行います。

ご依頼から診断・結果のご報告までの流れをご案内いたします。