Fujitsu Webアプリケーション脆弱性診断サービス
Webアタックテスト

こんな企業様におすすめ！

• 注1
  PCI DSS（Payment Card Industry Data Security Standard）：
  クレジットカード情報や取引情報の安全な管理を目的に、国際カードブランドにより策定されたセキュリティ基準です。クレジット情報を取り扱う全てのカード会社、加盟店、決済代行事業者等は、PCI DSSに準拠することが求められています。

特長

ツール診断

• 短期間かつ低コストで手軽に実施可能
  ツールを利用することで、10画面/日（手動は5～6画面/日）程度の診断が可能。
  手動診断に比べ、コストを抑えることもできます。
• 専門スタッフによる精査
  ツールでの診断後に専門スタッフが精査することで、誤検知を排除します。

手動診断

• セキュリティのリスクを多角的に診断
  専門スタッフがサイト攻撃者の立場で、様々な観点から最新の攻撃手法を考察・試行します。

サービスの位置づけ

サービス体系

概要図

当社拠点からインターネット経由でのリモート診断が基本です。
お客様拠点でのオンサイト診断は、ご要望に応じて実施いたします。

詳細情報

• 診断内容

  • No.	診断項目	ツール診断	手動診断
    1	SQLインジェクション	○	○
    2	クロスサイト・スクリプティング	○	○
    3	CSRF（クロスサイト・リクエスト・フォージェリ）	○	○
    4	OSコマンド・インジェクション	○	○
    5	ディレクトリ・リスティング	○	○
    6	メールヘッダ・インジェクション	×	○
    7	パス名パラメータの未チェック／ディレクトリ・トラバーサル	○	○
    8	意図しないリダイレクト	○	○
    9	HTTPヘッダ・インジェクション	○	○
    10	認証の不備	×	○
    11	セッション管理の不備	×	○
    12	許可制御の不備、欠落	○	○
    13	機微な情報の露出	○	○
    14	XML 外部エンティティ参照（XXE）	○	○
    15	不適切なセキュリティ設定	○	○
    16	その他のインジェクション（LDAP, Xpath等）	○	○

    「クローラへの耐性」、「安全でないデシリアライゼーション」、「既知の脆弱性のあるコンポーネントの使用」、「不十分なロギングとモニタリング」は診断対象外となります。

• 診断までの流れ
  • 
• サービスの実施時間
  • • 平日10時～18時
      ご要望に応じて土日祝日、夜間も対応いたします。
• サービスの実施環境

  • インターネットに公開しているWebアプリケーション	インターネット経由でリモート診断を行います。
    イントラネット上にあるWebアプリケーション	オンサイト診断で行います。PCアクセス環境をご用意していただきます。

• サービス（ツール診断）の報告書サンプル
  • 

    ツール診断結果に専門スタッフのコメントを加えた報告書
• 価格

  • 区分	項目	価格（税別）
    ツール診断	基本サービス（10画面）	個別見積
    	画面追加	個別見積
    手動診断	基本サービス（5画面）	個別見積
    	画面追加	個別見積
    オプション	報告会	個別見積