脆弱性診断サービス
Vulnerability diagnosis service
低コスト・高品質の
脆弱性診断サービス
ツールによる自動診断から、アナリストによる手動診断まで
ニーズに応じた柔軟なセキュリティチェックをご提供します。
コストを抑えて、セキュリティを確保する最適な選択肢
CyberCrewの脆弱性診断サービスは、自動ツールを活用した「スピーディかつリーズナブルな診断」により、
企業のセキュリティ状況を可視化します。
必要に応じて、セキュリティアナリストによるマニュアル診断(手動検証)も追加でき、
「最小コストで最大の成果」を実現する柔軟な体制が特長です。
なお、当社の「ペネトレーションテスト」サービスには、この脆弱性診断が前提工程として含まれており、
攻撃シナリオ設計や実行前にリスクを網羅的に把握することを目的として活用されます。
幅広いシステムに対応可能
Webアプリケーション
スマートフォンアプリ
(iOS / Android)
クラウド環境
(AWS / Azure / GCP)
API(REST / GraphQL)
サーバ / OS / プラットフォーム
IPベースのネットワーク診断
脆弱性診断で使用されるツール
| ツール名 | 対象となる脆弱性診断 |
|---|---|
|
Burp Suite |
Webアプリケーション |
|
OWASP ZAP |
Webアプリケーション |
|
Acunetix |
Webアプリケーション |
|
Invicti |
Webアプリケーション |
|
Nessus |
プラットフォーム |
|
QualyGuard |
プラットフォーム |
|
cloud goat |
クラウド |
サービス仕様
当社の脆弱性診断サービスは、 以下に示す国内外の標準・ガイドラインに基づき、攻撃者視点での検査を実施しています。
準拠基準
当社の脆弱性診断は、以下の国内外の標準・ガイドラインに準拠して実施します。
- OWASP Application Security Verification Standard(ASVS)レベル1以上
- OWASP Security Testing Guide(セキュリティテスティングガイド)
- 独立行政法人 情報処理推進機構(IPA)「ウェブ健康診断仕様」
- 日本セキュリティオペレーション事業者協議会および OWASP による「脆弱性診断ガイドライン(脆弱性診断士スキルマップ)」
検出結果はすべて当社のセキュリティアナリストが手動で検証し、
誤検知の除外・リスク評価(CVSS等)を行ったうえで報告書に反映します。
使用する代表的なツール
診断対象やシステム構成に応じて、下記の代表的なツールを組み合わせて使用します。
自動診断と手動診断を併用し、検出結果は必ずアナリストが確認を行います。
| ツール名 | 対象となる脆弱性診断 | 主な用途・特徴 |
|---|---|---|
|
Burp Suite |
Webアプリケーション |
手動診断・動的解析に利用。 入力検証やセッション管理などの詳細分析に対応。 |
|
OWASP ZAP |
Webアプリケーション |
オープンソースの動的スキャンツール。 ASVSレベル1に対応。 |
|
Acunetix |
Webアプリケーション |
自動スキャンによる高精度な脆弱性検出を実施。 SQLインジェクションやXSSなど代表的なOWASP Top 10脆弱性に対応。 |
|
Invicti |
Webアプリケーション |
大規模サイト向けの商用DASTツール。 自動検査とレポート生成により、IPA「ウェブ健康診断仕様」準拠の検査に活用。 |
|
Nessus |
プラットフォーム |
サーバやネットワーク機器の脆弱性を網羅的にスキャン。 構成ミスやパッチ未適用の検出に対応。 |
|
QualyGuard |
プラットフォーム |
クラウドベースのプラットフォーム診断ツール。 OSやミドルウェアの脆弱性を継続的に評価し、リスクを可視化。 |
|
cloud goat |
クラウド |
クラウド環境(AWSなど)における設定不備やアクセス制御の脆弱性をシナリオ形式で検証可能。 MITRE ATT&CKに準拠したテストに対応。 |
成果物について
ツール出力の分析を含む
診断の実施
本サービスでは、診断ツールによるスキャン結果を当社のセキュリティ専門家が精査し、誤検知や過剰な評価の排除、潜在的なリスクの分析を行った上で、お客様の環境に合わせた評価を実施します。
診断結果報告書
の作成
診断完了後、発見された脆弱性の詳細、危険度評価、具体的な対策方法を記載した『脆弱性診断結果報告書』を提出します。
診断結果に関する
報告会の開催
報告書の提出後、お客様がご希望の場合、『報告会』をオンラインで開催します。
報告会では、診断結果の概要、特に重要度の高い脆弱性について詳細を解説し、質疑応答のお時間を設けます。
CyberCrew診断の特長
| 特長 | 内容 |
|---|---|
|
コストパフォーマンス最重視 |
他社より最大50%安くご提供。最小構成で10万円台から対応可能(要件次第) |
|
スピード対応 |
最短1営業日でレポート納品可能(小規模構成の場合) |
|
拡張性のある診断体制 |
ツールベースからマニュアル診断まで柔軟にスケール |
|
専門家による柔軟な対応力 |
現役ホワイトハッカーが在籍。特殊要件や手動診断も対応可能 |
診断メニューの選び方
ツール診断とマニュアル診断の違い
| 項目 | ツール診断 | マニュアル診断 |
|---|---|---|
|
対象 |
全体スキャン/既知の脆弱性の抽出 |
特定箇所の深堀り、ツールで拾えない脆弱性の検出 |
|
実施内容 |
自動診断ツールによるスキャン |
アナリストが重要度の高い脆弱性を選別し、実害リスクを判断 |
|
価格 |
低価格・短納期 |
規模や要件により個別見積(追加費用) |
|
おすすめの利用シーン |
はじめての診断/予算を抑えたい/定期診断 |
本番リリース前/機微情報を扱う/PCI DSS対応/報告書の品質を重視 |
|
対応例 |
Webアプリ/API/クラウド構成の安全性チェック |
ロジックの不備/認証バイパス/意図しない挙動の確認 |
マニュアル診断はこんな時に有効です
- 大量の検出結果の中から「本当に対応が必要なもの」だけを抽出してほしい
- 重大な脆弱性だけピンポイントで見てほしい
- 経営層・開発チーム向けに「行動できる」レポートが欲しい
CyberCrewのセキュリティアナリストが、レポートのノイズを削減し、本質的なリスクに集中できる診断体験をご提供します。
診断の流れ
診断の流れ
01
ヒアリング
対象や規模、実施タイミングをお伺いします
02
お見積り提示
目的に合わせた最適な診断構成と金額をご提示
03
ご契約
ご発注にあたり契約書を締結します。
04
診断準備
環境のご提供/アカウント発行/IP制限の調整など
05
診断実施
自動ツールによるスキャンと、必要に応じた手動検証
06
報告書・報告会の実施
脆弱性の内容・リスク・対策をご説明
07
再診断(任意)
改修後の再確認にも柔軟に対応(条件付き)
よくあるご質問
要件により異なりますが、最小構成で40万円台から対応可能です。
脆弱性の内容、深刻度、対策案を含んだレポートをPDFで納品します。
初回納品から1ヶ月以内であれば、1回まで無料再診断が可能です(要件による)。
ペネトレーションテストとの違いと関係性
脆弱性診断は、ツールやチェックリストを用いて「システムにどんな弱点があるか」を広範囲に洗い出す作業です。
一方、ペネトレーションテストは「その脆弱性を実際に悪用できるか」を検証する攻撃シミュレーションです。
CyberCrewのペネトレーションテストには
この脆弱性診断が含まれています。
攻撃シナリオを組み立てる前に、ツールやアナリストによる診断で潜在リスクを洗い出し、
最も効果的な侵入経路を検討・再現するための準備工程として位置づけています。
脆弱性診断を単体で実施することで、まずは「守るべき場所」と「想定リスクの全体像」を明らかにできます。
攻撃までシミュレートしたい場合は、ペネトレーションテストをご検討ください。
