セキュリティ診断

すべてのIT資産、安全に守れていますか？

取り巻く環境

急速に変化するビジネス環境への対応
DX化の加速
アジャイル開発の導入

課題

脆弱性診断をやりきれていない
やりきるには多大な対応工数と費用が増大
脆弱性を見逃すリスクの増加

脆弱性診断・ASMで解決！

かんたん手間なし
リーズナブル

診断サービス

脆弱性

どのような影響がある？

システム影響

DB破壊/改ざん

DB不正アクセス
情報漏洩

ID/Pass漏洩不正ログイン

スクリプトの注入

経営リスク

業務中断復旧コスト

顧客からの損害賠償請求
個人情報保護法違反罰金

不正取引や情報漏洩

ユーザ情報漏洩乗っ取り

財務的損失

＋

信頼と評判の損失

外部公開資産

が狙われやすい

従来の主な攻撃対象であったIT資産については、メールセキュリテ・AV・EDR・ネットワークセキュリティなど、多層防御や監視などの対策を充実させている企業が多数。しかし、昨今ではネットワーク機器や外部公開サーバー、クラウド環境などの外部公開資産が弱点として狙われる事例が多くなりました。

さらに、現在対策の進んでいない外部公開資産（Webサイトもサーバ等）は、数クリックで構築可能な時代。各部署で勝手に立ち上がった資産を管理しきれていない状況が、攻撃対象を増加させることに繋がってしまっているのです。

攻撃

されやすい企業とは

攻撃

されやすい企業とは

1 公開資産が多い企業

外部に公開された資産

（Webサイト、API、サーバー、クラウドなど）

2 ITインフラが
分散している企業

複数のクラウド環境

（AWS、Azure、Google Cloudなど）

3 急成長または
M&Aが頻繁な企業

IT資産の増加、新規サービスやプロダクト、

M&A後に統合されたIT資産

4 セキュリティ規制や
認証が求められる企業

金融、医療、エネルギー、通信など

法規制が厳しい業界

5 サイバー攻撃のターゲットになりやすい企業

ブランド力が強い企業、サービス停止や

情報漏洩が社会的影響になりうる

6 多数のサードパーティ
を利用する企業

受託開発やアウトソーシングされた

システムの利用

7 複雑なネットワークや
システムを持つ企業

デバイスやユーザーの増加が続いている、

レガシーと最新技術が混在

8 リモート/ハイブリッド
ワークが進んでいる企業

社外からのアクセスが増加し、

セキュリティリスクが拡大

LINE UP

Webサイト、Webシステム脆弱性診断で

できること

Webアプリに最適化された診断をご提供

OWASP ZAP※ のソースコードを全て見直し、診断に用いられるシグネチャ（判定基準）が再実装されています。

※OWASP（Open Web Application Security Project)が提供する業界標準の一つとされているツール

高いクローリング精度で業務工数を削減

トップページのURLを入力するだけで、診断対象となるページを自動で洗い出し、診断します。

手動診断を行う専門家の知見を反映した検知力

ホワイトハッカーの知見を、定期的に診断エンジンに反映することにより、最新の情報に基づいた脆弱性検知が可能です。

脆弱性検知後の再現/修正が容易

診断結果に再現コードが出力され、脆弱性が検知されてからの再現、修正後の確認が容易に行え、作業コストの削減に繋がります。

Webサイト、Webシステム脆弱性診断では
ログイン後のページ含めて網羅的に診断致します。

―　診断項目　―

ディレクトリリスティング
既知の脆弱性が存在するソフトウェア
バージョン情報の検出
Cookieの不備（HttpOnly）
Cookieの不備（Secure）
キャッシュ制御の不備
データの信頼性についての不十分な検証
クリックジャッキング
セキュリティヘッダの不備

情報開示
オープンリダイレクト
サービス運用妨害
Cookie汚染
不適切な入力確認
重要な状態データの外部制御
平文による秘密情報の送受信
クロスサイトスクリプティング
送信データによる機密情報の公開

任意のコマンド実行
不適切な入力処理
認可制御の不備
クロスサイトリクエストフォージェリ
任意のコード実行
バッファオーバーフロー
書式文字列攻撃
整数オーバーフロー
SQLインジェクション
パストラバーサル

攻撃の入口=外部公開資産を守るASM

ASMとは外部（インターネット）からアクセス可能な IT 資産の情報を調査し、
それらに存在する脆弱性を継続的に評価する取り組みです。

1

保有・管理しているIPアドレス・ホスト名の探索

2

利用しているOS・ソフトウェア・
バージョン情報の確認

オープンなポート番号の確認

3

収集した情報をもとに
リスクの評価（確率 × 影響度）

4

パッチの適用（リスクの低減）

対策の見送り（リスクの受容）

ASM・定期診断で

得られる効果

攻撃対象領域の可視化

公開資産を可視化し、管理する

脆弱性の早期発見と対応

パッチ未適用のシステムや設定ミスを迅速に発見し、攻撃リスクを軽減する

定期診断と通知

攻撃対象領域に対して、新しいリスクを把握

セキュリティ運用の効率化

ITやセキュリティ担当者の作業負荷を軽減し、迅速かつ的確な対応を支援

対策が進んでいない外部公開資産をASMで把握しませんか？

―　ASMの診断範囲　―

プラットフォーム診断
（ネットワーク診断）

診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。

（診断対象：メールサーバ、Webサーバ、SSHサーバ、FTPサーバ、VPN機器など）

Webアプリケーション診断

クロスサイトスクリプティングやSQLインジェクションなどWebアプリケーションに潜む脆弱性を診断します。

（診断項目例：SQLインジェクション、OSコマンドインジェクション、バッファオーバーフロー、ディレクトリトラバーサルなど）

CMS診断

本体やプラグイン、テーマのバージョン情報などから既知の脆弱性の有無を確認します。