脆弱性診断の項目は網羅していますか？

クレジットカードのセキュリティ要件に準拠した診断項目を十分に網羅しております。別途、弊社独自のセキュリティ診断項目を40項目掲げて網羅しております。

セキュリティ診断のツール診断と手動診断との違いは？

ツール診断は予め設定されたセキュリティ疑似攻撃のスクリプトにより脆弱性診断を行うものです。手動診断とは専門のセキュリティエンジニアが診断対象を確認しながら脆弱性の有無を診断するものです。手動の脆弱性診断はツールによる脆弱性診断に比べて臨機応変に診断することができるため脆弱性診断の精度は高い傾向にあります。

セキュリティ診断のツール診断と手動診断の項目は異なりますか？

診断項目は変わりません。ツール診断も手動診断も全ての診断項目を網羅し実施します。

情報システム部門にとって日々発表される情報漏洩事件、Webサイトの改ざん事件、Webサイトの改ざん事件は非常に気になる事案だと思われます。自社が運用しているWebアプリケーションの脆弱性の有無を定期的に診断したいけど、Webセキュリティ診断は高価格のため、なかなか手が出ないと考えてらっしゃる担当者は多いかと思われます。そのようなお客様に費用を抑えたセキュリティ診断を実施頂くプランを用意しました。Webアプリケーションに脆弱性が発見された場合、セキュリティコンサルタントがお客様の予算・状況に合わせて最適なセキュリティ診断のプランをご提案します。費用を抑えた診断以外にも熟練のセキュリティエンジニアによるぺネトレーションテストを行なうことも可能です。

セキュリティ診断必要性　　 Webサイト改ざんの事例はコチラ

Webサイト
改ざん事件セキュリティWeb改ざん

Web改ざん

ECサイト
漏えい事件セキュリティ情報漏えい

情報漏洩

診断内容　

セキュリティ診断比較

セキュリティの脅威　

お客様の声　

費用　

情報漏えい被害額

セキュリティ診断　内容

セキュリティ診断については、不正な改ざんに対する完全性を確認する診断項目の網羅性、品質を十分に備えたセキュリティ診断を実施いたします。

１．PCIDSS準拠のセキュリティ診断

PCIDSSはクレジットカード会社が決めた情報セキュリティに対する具体的な実装を規格化したものです。ただ、セキュリティー面において非常に定量的・体系的な規格であるため他業種や組織がセキュリティの基準として採用し始めている規格です。

２．セキュリティ診断項目

セキュリティの脅威として大きく４０の分類を設け、Webアプリケーションに応じたペネトレーションテストを実施します。

セキュリティ診断項目

３．業界最高レベルの診断項目数

セキュリティ診断手法のツール診断において60,000以上の疑似攻撃パターンを持ち合わせています。疑似攻撃のパターンは日々更新し、あらゆる攻撃パターンに対しても脆弱性を発見できるよう対応しております。ペネトレーションテストにおいても同様に最新の攻撃手法をアップデートしています。

セキュリティ診断　PCIDSS準拠の診断対象

セキュリティ診断エレシークVAではPCIDSS準拠の診断項目を前提としています。PCIDSSは大手カード会社のコンソーシアムによって開発されたセキュリティ分野のベストプラクティスを体系化したものです。PCIDSSのセキュリティ要件の中には、脆弱性を特定し管理するための最新のベストプラクティスが則されています（OWASPガイド、CWE/SAMS TOP25、CERTセキュアコーディング等）。PCI DSSの要件6.5では、Webアプリケーション開発時のコーディング上の不備による脆弱性に対処するために、コーディング手法の指針である「OWASP：Open Web Application Security Project」ガイドラインなどに基づいた開発を求めています。ソフトウェア開発プロセスにおけるコーディングの脆弱性についてエレシークVAでは次に示すようなセキュリティ診断メニューおよび価格をご用意しています。

セキュリティ診断項目　コーディングガイドラインに基づく

PCIDSS要件	レギュラー	ビジネス	プロ
入力データの未検証
アクセス制御の不徹底
認証・セッション管理の不徹底
XSS（cross-site scripting）攻撃
バッファ・オーバーフロー
入力不正（SQLインジェクション他）
不適切なエラー処理
安全でない保管
サービスの拒否
信頼できない設定管理

セキュリティ診断　比較　他社の脆弱性診断との違い

セキュリティ診断会社は沢山ありますが、違いがよくわからない、セキュリティ診断の費用と内容がよくわからない、そのようなお声を沢山頂戴します。当社のセキュリティ診断は、クライアント様のご予算・Webアプリケーションの内容によってご相談しながら診断手法・お見積りをご提案します。

セキュリティ診断比較

ぺネトレーションテストの網羅性

大手企業からも信頼あり、当社のセキュリティエンジニアの技術力は申し分ありません。

予算に合わせた提案

クライアント様のご予算・費用感をを考慮してセキュリティ診断をご提案いたします。

診断目的に応じた提案

セキュリティ診断を実施する目的に応じたご提案をいたします。

ペネトレーションテストとは

無料セキュリティ診断はコチラ

セキュリティの脅威対象マップ

Webアプリケーションは多くの脅威にさらされていることを次のマップでご確認頂けます。アプリケーションには沢山の入り口となりうる驚異があり、運営時の更新により人的なミスでポートが空いていた、ファイルの権限管理が煩雑であったなどの事故も発生しています。システムの追加開発・更新によりセッションの管理に脆弱性を含んでしまった等の事故も起こりうること考えると定期的なセキュリティ診断も十分に検討されることをお勧めします。セキュリティの脅威対象マップ

セキュリティ診断エレシークVAの安心サービス

セキュリティを強化したいけどよくわからない、費用はどれぐらい掛ければいいかよくわからない、そのようなお声を沢山頂戴し低価格からセキュリティの現状把握を進めて頂くサービスを提供しています。クライアント様と未来に向けて継続的に二人三脚で安心安全な情報システムを活用した事業運営のため、インターネットサービスを安心安全にご利用頂くためにセキュリティ企業であるコーボーはお客様の情報システムを安全で快適なものにするために尽力します。
株式会社コーボー・ホールディングス　代表取締役社長　古城剛

安心サービス①　診断方法の選択

現在の課題、状況に応じて診断対象の選定からご予算に応じたセキュリティ診断を提案します。

安心サービス②　システム負荷を考慮

本番環境の脆弱性診断においてもシステム負荷を考慮できるだけかけない診断を心掛けております。

安心サービス③　迅速なサービス

お急ぎで診断されているケース、重大な脆弱性が発見された場合は「速報」で報告し、分かりやすい報告書をまとめて報告します。

安心サービス④　定期診断

定期的な診断を実施することで時系列でどのようなセキュリティ対応、対策を進めるべきかご提案します。

セキュリティ診断　エレシークVA　お客様の声

ご利用頂いてるお客様の声です。大半のお客様は定期的に同サービスを含むセキュリティ診断を実施されております。セキュリティ診断は継続的に実施することが重要です。

大手流通ECサイト様

セキュリティについてはシステム開発会社に任せていたけど、第三者のセキュリティ専門会社に依頼してよかった。Webアプリケーションは正常に動いていたが、セキュリティ診断を実施したところ、脆弱性が発見されユーザーに意図しないアクションが行える状態であった。今後も、定期的な診断はもちろんのこと、システムの改修が入った際にはセキュリティ診断を依頼したいと考えている。

学校法人様

沢山の個人情報を持ち合わせていること、情報システムの知識を持った学生がいたずら等をする可能性があることなど、外部・内部共に十分なセキュリティの体制を築く必要があった。大手のSierに依頼するよりもキメ細かく適正な価格で対応してもらえたところに満足している。継続的にITシステムの全体のネットワーク管理、セキュリティ管理に関しては任せていきたい。

ペネトレーションテストの提供について

コーボーのセキュリティ診断は、セキュリティ専門のエキスパートエンジニアが手動でおこなうペネトレーションテストの技術をベースにしています（以下”プロ”）。情報セキュリティの脅威は日毎に増している中、気軽にセキュリティについて触れ考えて頂く機会を設けて頂きたいとご予算に応じて様々なメニューをご用意致しました。個人情報を多く抱える、一定規模以上の企業や上場企業様におかれましてはエレシークVAの”プロ”メニューをご利用頂き定期的にセキュリティ診断をされることを強くお勧めします。

※セキュリティ診断報告書サンプルはコチラ

診断対象（セキュリティの脅威）	レギュラー	ビジネス	プロ
	12万円	30万円	50万円～
SQLインジェクション
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
認証系
承認系
OS/ミドルウェアの脆弱性
マルウェアのチェック
ネットワーク
全診断項目（40項目）

診断方法①（Web側からの確認）
診断方法②（ツール診断）
診断方法③（エキスパートエンジニアによる診断）	－	－

※レギュラーは本格的なツール診断をします。
※ビジネスについては、弊社のセキュリティ診断ツール「ハウル」の60,000の診断パターンを使い診断をするため網羅的に診断をすることができます。
※プロのメニューについて：システムの規模、ネットワーク構成により都度のお見積もりとなります。
※セキュリティ診断項目　40についてコチラ

脆弱性診断の項目は網羅していますか？: クレジットカードのセキュリティ要件に準拠した診断項目を十分に網羅しております。別途、弊社独自のセキュリティ診断項目を40項目掲げて網羅しています。
セキュリティ診断のツール診断と手動診断との違いは？: ツール診断は予め設定されたセキュリティ疑似攻撃のスクリプトにより脆弱性診断を行うものです。手動診断とは専門のセキュリティエンジニアが診断対象を確認しながら脆弱性の有無を診断するものです。手動の脆弱性診断はツールによる脆弱性診断に比べて臨機応変に診断することができるため脆弱性診断の精度は高い傾向にあります。
セキュリティ診断のツール診断と手動診断の項目は異なりますか？: 診断項目は変わりません。ツール診断も手動診断も全ての診断項目を網羅し実施します。

＜セキュリティ診断報告書サンプル＞
＜個人情報漏えいの被害額算出ホワイトペーパー＞
お送りします。

お問い合わせはコチラ

/// セキュリティ診断：エレシークVA

お問い合わせ

<img src="assets/img/shild_icon.png"> セキュリティ診断 内容

１．PCIDSS準拠のセキュリティ診断

２．セキュリティ診断項目

３．業界最高レベルの診断項目数

<img src="assets/img/icon_card.png"> セキュリティ診断 PCIDSS準拠の診断対象

ぺネトレーションテストの網羅性

予算に合わせた提案

診断目的に応じた提案

<img src="assets/img/shild_icon.png"> セキュリティの脅威対象マップ

<img src="assets/img/shild_icon.png"> セキュリティ診断エレシークVAの安心サービス

安心サービス① 診断方法の選択

安心サービス② システム負荷を考慮

安心サービス③ 迅速なサービス

安心サービス④ 定期診断

<img src="assets/img/shild_icon.png"> セキュリティ診断 エレシークVA お客様の声

<img src="assets/img/shild_icon.png"> ペネトレーションテストの提供について