Vulnerability diagnosis service
ツール任せにしない、専門家検証による実践的な脆弱性診断
― 攻撃者視点で「本当に悪用される弱点」を特定 ―
自動スキャン+手動検証
悪用可能性の検証
優先度付けされた対策提案
経済産業省が定める「情報セキュリティサービス基準」に基づく登録サービス
サービス名:ペネトレーションテストサービス/脆弱性診断サービス
サイバー攻撃の高度化により、
Web・クラウド・API・ネットワークなど、攻撃対象は年々拡大しています。
CyberCrewの脆弱性診断は、
自動スキャン+手動検証のハイブリッド診断
攻撃者視点による悪用可能性の確認
事業影響を考慮した優先度付け
により、無駄のない、実務で使える診断結果を提供します。
自動スキャン結果をホワイトハッカーがすべて確認し、誤検知(False Positive)を排除します。
攻撃者の視点で実際に悪用可能かを検証し、 対応すべき脆弱性を明確にします。
CVSSだけに依存せず、 事業影響・優先度・対策方針を整理して報告します。
公開Webサイト/業務アプリ/管理画面
REST API / GraphQL API
iOS / Android アプリケーション
AWS / Azure / GCP の設定・権限・公開範囲
オンプレミス/クラウドサーバ
外部・内部ネットワーク(条件あり)
IoT関連Webアプリケーション
外部公開IT資産
WordPressコア/テーマ/プラグイン
無線クライアント環境
Webアプリケーション脆弱性診断は、公開Webサイトや業務アプリケーション、管理画面などを対象に、外部攻撃者の視点からアプリケーションの安全性を評価する診断です。
CyberCrewでは、OWASP Top 10 および OWASP ASVS(Level1以上)に準拠し、単なる入力値チェックに留まらず、認証・認可やビジネスロジックといった設計レベルの問題まで含めて確認します。
自動診断ツールによる検出結果は、必ず専門家が手動で検証し、誤検知を排除したうえで、実際に悪用可能な脆弱性のみを報告します。
スマートフォンアプリケーション診断は、iOSおよびAndroidアプリを対象に、アプリ本体、通信、バックエンドAPIを含めた総合的なセキュリティ評価を行う診断です。
アプリ単体の実装だけでなく、API通信の安全性や認証情報の取り扱い、不適切なデータ保存など、実際の利用環境を想定した攻撃シナリオで検証します。
モバイルアプリを提供する企業にとって、情報漏えいや不正利用リスクを低減するための重要な診断です。
API脆弱性診断は、REST API や GraphQL API を対象に、API特有の設計・実装・認可モデルに起因するリスクを評価する診断です。
近年では、WebアプリケーションやモバイルアプリのバックエンドとしてAPIが直接攻撃対象となるケースが増えており、従来のWeb診断だけではリスクを十分に把握できない場合があります。
CyberCrewでは、仕様と実装の乖離や、設計上の前提が崩れた場合の影響まで考慮し、実践的な観点で検証を行います。
API脆弱性診断は、REST API や GraphQL API を対象に、API特有の設計・実装・認可モデルに起因するリスクを評価する診断です。
近年では、WebアプリケーションやモバイルアプリのバックエンドとしてAPIが直接攻撃対象となるケースが増えており、従来のWeb診断だけではリスクを十分に把握できない場合があります。
CyberCrewでは、仕様と実装の乖離や、設計上の前提が崩れた場合の影響まで考慮し、実践的な観点で検証を行います。
サーバ・OS・プラットフォーム脆弱性診断は、オンプレミスおよびクラウド上のサーバやネットワーク機器を対象に、基盤レイヤーのセキュリティ状態を評価する診断です。
外部からの侵入経路となり得るポイントを洗い出し、攻撃の足掛かりとなる設定不備や未対策の脆弱性を明確にします。
IPベース ネットワーク脆弱性診断は、外部攻撃者の視点からネットワーク全体を俯瞰し、ネットワークレベルのリスクを把握する診断です。
インターネットから到達可能な範囲を中心に、意図しない公開や構成上の弱点を特定します。
IoTデバイス セキュリティ診断は、IoT機器およびそれを支えるWebアプリケーションやクラウド基盤を含めて、デバイス全体のセキュリティを評価する診断です。
安全性や可用性、法規制対応が求められる環境において、実運用を前提とした検証を行います。
ASM診断は、組織が外部に公開しているデジタル資産を可視化し、攻撃の入口となり得るリスクを特定する診断です。
非侵入型で実施するため、業務への影響を与えることなく、早期にリスクを把握できます。
WordPressセキュリティ診断は、WordPressで構築されたWebサイトに特化した診断サービスです。 WordPress特有の攻撃手法を踏まえ、実際に狙われやすいポイントを重点的に評価します。
無線LANセキュリティ診断は、無線ネットワーク環境における設定や通信の安全性を評価する診断です。
社内ネットワークへの侵入口となり得るリスクを明確にし、適切な対策につなげます。
ンターネット経由でアクセス可能なシステムを対象に、CyberCrewの安全な検証環境から実施します。
非公開環境や社内ネットワーク向けに、オンサイトでの診断も可能です。
※ セキュリティ・運用・コンプライアンス要件に応じて選択
| ツール名 | 対象となる脆弱性診断 |
|---|---|
|
Burp Suite |
Webアプリケーション |
|
OWASP ZAP |
Webアプリケーション |
|
Acunetix |
Webアプリケーション |
|
Invicti |
Webアプリケーション |
|
Nessus |
プラットフォーム |
|
QualyGuard |
プラットフォーム |
|
cloud goat |
クラウド |
当社の脆弱性診断サービスは、 以下に示す国内外の標準・ガイドラインに基づき、攻撃者視点での検査を実施しています。
当社の脆弱性診断は、以下の国内外の標準・ガイドラインに準拠して実施します。
検出結果はすべて当社のセキュリティアナリストが手動で検証し、
誤検知の除外・リスク評価(CVSS等)を行ったうえで報告書に反映します。
診断対象やシステム構成に応じて、下記の代表的なツールを組み合わせて使用します。
自動診断と手動診断を併用し、検出結果は必ずアナリストが確認を行います。
| ツール名 | 対象となる脆弱性診断 | 主な用途・特徴 |
|---|---|---|
|
Burp Suite |
Webアプリケーション |
手動診断・動的解析に利用。 入力検証やセッション管理などの詳細分析に対応。 |
|
OWASP ZAP |
Webアプリケーション |
オープンソースの動的スキャンツール。 ASVSレベル1に対応。 |
|
Acunetix |
Webアプリケーション |
自動スキャンによる高精度な脆弱性検出を実施。 SQLインジェクションやXSSなど代表的なOWASP Top 10脆弱性に対応。 |
|
Invicti |
Webアプリケーション |
大規模サイト向けの商用DASTツール。 自動検査とレポート生成により、IPA「ウェブ健康診断仕様」準拠の検査に活用。 |
|
Nessus |
プラットフォーム |
サーバやネットワーク機器の脆弱性を網羅的にスキャン。 構成ミスやパッチ未適用の検出に対応。 |
|
QualyGuard |
プラットフォーム |
クラウドベースのプラットフォーム診断ツール。 OSやミドルウェアの脆弱性を継続的に評価し、リスクを可視化。 |
|
cloud goat |
クラウド |
クラウド環境(AWSなど)における設定不備やアクセス制御の脆弱性をシナリオ形式で検証可能。 MITRE ATT&CKに準拠したテストに対応。 |
本サービスでは、診断ツールによるスキャン結果を当社のセキュリティ専門家が精査し、誤検知や過剰な評価の排除、潜在的なリスクの分析を行った上で、お客様の環境に合わせた評価を実施します。
診断完了後、発見された脆弱性の詳細、危険度評価、具体的な対策方法を記載した『脆弱性診断結果報告書』を提出します。
報告書の提出後、お客様がご希望の場合、『報告会』をオンラインで開催します。
報告会では、診断結果の概要、特に重要度の高い脆弱性について詳細を解説し、質疑応答のお時間を設けます。
| 特長 | 内容 |
|---|---|
|
コストパフォーマンス最重視 |
他社より最大50%安くご提供。最小構成で10万円台から対応可能(要件次第) |
|
スピード対応 |
最短1営業日でレポート納品可能(小規模構成の場合) |
|
拡張性のある診断体制 |
ツールベースからマニュアル診断まで柔軟にスケール |
|
専門家による柔軟な対応力 |
現役ホワイトハッカーが在籍。特殊要件や手動診断も対応可能 |
| 項目 | ツール診断 | マニュアル診断 |
|---|---|---|
|
対象 |
全体スキャン/既知の脆弱性の抽出 |
特定箇所の深堀り、ツールで拾えない脆弱性の検出 |
|
実施内容 |
自動診断ツールによるスキャン |
アナリストが重要度の高い脆弱性を選別し、実害リスクを判断 |
|
価格 |
低価格・短納期 |
規模や要件により個別見積(追加費用) |
|
おすすめの利用シーン |
はじめての診断/予算を抑えたい/定期診断 |
本番リリース前/機微情報を扱う/PCI DSS対応/報告書の品質を重視 |
|
対応例 |
Webアプリ/API/クラウド構成の安全性チェック |
ロジックの不備/認証バイパス/意図しない挙動の確認 |
CyberCrewのセキュリティアナリストが、レポートのノイズを削減し、本質的なリスクに集中できる診断体験をご提供します。
対象や規模、実施タイミングをお伺いします
目的に合わせた最適な診断構成と金額をご提示
ご発注にあたり契約書を締結します。
環境のご提供/アカウント発行/IP制限の調整など
自動ツールによるスキャンと、必要に応じた手動検証
脆弱性の内容・リスク・対策をご説明
改修後の再確認にも柔軟に対応(条件付き)
要件により異なりますが、最小構成で40万円台から対応可能です。
脆弱性の内容、深刻度、対策案を含んだレポートをPDFで納品します。
初回納品から1ヶ月以内であれば、1回まで無料再診断が可能です(要件による)。
脆弱性診断は、ツールやチェックリストを用いて「システムにどんな弱点があるか」を広範囲に洗い出す作業です。
一方、ペネトレーションテストは「その脆弱性を実際に悪用できるか」を検証する攻撃シミュレーションです。
攻撃シナリオを組み立てる前に、ツールやアナリストによる診断で潜在リスクを洗い出し、
最も効果的な侵入経路を検討・再現するための準備工程として位置づけています。
脆弱性診断を単体で実施することで、まずは「守るべき場所」と「想定リスクの全体像」を明らかにできます。
