概要

当社の専門家は、現在進行中の実務的な調査、OWASP TOP 10、Web Application Security Consortium Threat Classification、Common Vulnerability Scoring System (CVSS) などのセキュリティプロジェクトへの貢献を通し、世界の最も重大なウェブアプリケーションセキュリティの欠陥を割り出す仕事に積極的に参加しています。

Webアプリケーションセキュリティ診断では、アプリケーションのデザイン、ネットワーク、オペレーティングシステム設定、外部データソース、データウェアハウス、認証メカニズムおよび認証コンポーネントの詳細な分析を行います。当社は、外部侵入者の視点からの分析(“ブラックボックス”)およびソースコード自体の分析(“ホワイトボックス”)を行うことができます。

FW、IPS、アンチウィルスソフトウェアなどの導入だけでは不十分なのは明確です。情報セキュリティポリシー、プロシージャ、加えて従業員研修の確立は、堅固な情報セキュリティ戦略を企業が実践するためにも本質的に重要です。

評価は通常、次のような段階を踏みます。

  1. 分析手法を決定(ブラックボックス、ホワイトボックス、または双方の組み合わせ)
  2. 各脆弱性タイプについて、自動、手動による監査と調査を実施
  3. 検出された脆弱性の特徴(例えば、利用の複雑さ、運用の手段、攻撃された場合の潜在的損害)を分析
  4. 実際の攻撃者が利用する可能性のあるシナリオを作成、シミュレーション攻撃を構築して実行。
  5. 最も重大な脆弱性を、組織的な一連の攻撃によって悪用する試み
  6. ウェブアプリケーションのログを確認し、疑われる事象が発生したかどうかを確認、もし発生していた場合は、悪用された脆弱性を特定。
  7. 結果を評価し、見つかった脆弱性を解決するための助言を提供

当社の診断の重要な成果物はレポートで、以下の情報を含みます。

  • テスト手法
  • 見つかった脆弱性全ての説明
  • 見つかった脆弱性の内、最も重大なものをハッカーが悪用した場合の成功度と影響度
  • 既に確認されている事件の原因となった可能性のある脆弱性を含む、見つかった脆弱性のリスクを軽減するための助言。
  • Positive Technologiesが、検出された脆弱性の除去方法を示すサンプルアプリケーションコード、またウェブアプリケーションのファイヤーウォールセキュリティポリシーや機能に関する進言を提供することもあります。

サービス概要