ソフトウェアテスト(第三者検証)の
エキスパート ヴェス
ホーム > サービス > セキュリティ診断サービス

  • セキュリティ診断サービス サイバーセキュリティは、企業のDXと背中合わせにいます
    安全で快適なシステムを​ 専門のセキュリティエンジニアが、徹底サポートいたします​

    資料ダウンロード
    お問い合わせ
  • Solution

    セキュリティ診断サービス

    ランサムウェアやDDoS攻撃によるシステム障害など、企業のDX化と表裏一体となって成長し続けるサイバー攻撃は、企業のネットワークだけでなく、サービスや、アプリケーション、IoTまで、様々な分野に迫っています。
    ヴェスでは、お客様の提供するデジタルサービスの品質を担保するための脆弱性診断にとどまらず、ソフトウェアやミドルウェア、ネットワーク、OSなどに存在する脆弱性(セキュリティ上の弱点)を見つけて、そのリスクや影響を評価する一連のプロセスを提供しています。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。

セキュリティ診断サービスラインナップ​

Webアプリケーション脆弱性診断

攻撃者の視点からWebアプリケーションに存在する情報漏洩やデータ改ざん、なりすましの原因となる脆弱性を検出します。
診断結果として検出した脆弱性に関する対策の優先度や対策方法をご提示いたします。

ネットワーク脆弱性診断

攻撃者がサイバー攻撃の対象を探索する視点を用いて、サーバやVPN等のネットワーク機器に存在する脆弱性を診断します。
設定上の問題やパッチ未適用による脆弱性対策にご活用ください。

ソースコード診断

独自開発ソフトウェアのソースコードを静的解析し、セキュアなコーディングルールとデータフローをチェックし脆弱性とコーディング品質の検証結果および回避の為の改善案を提示します。
開発段階のコードのセキュリティ/品質チェックや、すでに本番環境で稼働しているアプリケーションのセキュリティ診断にご活用ください。
実施工程 診断種別 ソースコード 診断可能な脆弱性の特徴 問題箇所 現象
ソースコード診断 実装フェーズ
(製造)		 ホワイトボックス
  • 内部構造を考慮して検査するため、実行が困難な箇所の脆弱性を検出可能
  • 即悪用できない潜在的な脆弱性も検出可能
 特定可 確認不可
脆弱性診断 テストフェーズ
(試験)		 ブラックボックス 不要
  • 一般に知られている脆弱性
  • 特定のパターンを用いた検査で応答を観察することで検出可能な脆弱性
 特定不可 確認可

スマートフォンアプリケーション診断

実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を実施します。
サーバ検査・クライアントアプリケーション検査を通じ、利用者情報が適切に取り扱われているか診断します。
総務省提言の「関係事業者向け スマートフォン利用者情報取扱指針」で示された基本原則を考慮した診断を行います。

ペネトレーションテスト

事前調査により特定した「システムのより脆弱な箇所」を起点としてシナリオベースの疑似攻撃を行うことでシステムの堅牢性を確認します。
システム特性に応じた効果的な防御方法の構築、現在のセキュリティ対策の有効性の確認、万が一攻撃を受けた場合の被害範囲・深刻度の把握が可能です。

ペネトレーションテストシナリオ例

導入から報告までの流れ

ヒアリングから、テストシナリオの作成、結果の分析までを一気通貫で提供します。

ヒアリング・シナリオ作成
システム環境、データ保管、ログ取得、監視状況等を確認し、テスト内容/範囲、シナリオ等を決定
事前準備
決定した内容に基づいた、ツール、エクスプロイトコード、C&Cサーバ等、攻撃の準備
テスト実施
合意した期間・範囲で、権限昇格、認証突破、機密情報取得、侵入痕跡、侵入可否の検証
テスト結果分析・報告
テスト結果を分析し、実施した攻撃内容と結果、侵入に関するリスクについて報告書を作成・提出

AI/LLMセキュリティ診断

レッドチーミングの手法を用いて、プロンプトインジェクションやプロンプトリーキングなどのAIシステムに対する疑似攻撃を実施。
システムに潜むリスクを洗い出し、安全・安心な運用を実現するための具体的な対策をご提案します。

テスト内容

プロンプトインジェクション
LLMに与える指示文(プロンプト)を悪用し、本来の設計や意図を無視させた処理を誘発する攻撃手法です。
チャットのようにLLMへ直接指示分を入力をする方法や、外部Webサイトの参照やファイル読み込み等を通じた間接的に指示分を入力する方法があります。
プロンプトリーキング
LLMに与える指示文(プロンプト)を悪用し、本来公開すべきでない内部情報を出力させる攻撃です。内部情報として、システムプロンプトや本来権限のない内部情報の閲覧などがあります。
プロンプトインジェクションの一部です。

診断の特徴

ユースケースに基づくテスト
生成AIは利用目的や方法に応じてリスクが異なります。当社はユースケースから導出したリスクシナリオに対して、重点的にテストし、重要なリスクを的確に把握します。
脆弱性修正対応の伴奏支援
当社のセキュリティエンジニアが、貴社の専属セキュリティチームとして、発見した脆弱性への対策実装をサポートし、AIシステムの安全なリリースまで徹底的に伴走します。
AIセキュリティガイドラインを活用
当社では、OWASP LLM Top10をはじめとする、各種AIセキュリティ情報を活用して、テストを実施。お客様は最新のAI知見に則った安全・安心な運用ができます。

IoT脆弱性診断診断

診断対象デバイス固有の機能(各種プロトコル・インタフェース接続)を利用し、攻撃者による「不正操作」「情報の窃取」「踏み台化」等に悪用可能な脆弱性有無の診断をおこないます。
利用されているOS/ミドルウェアの既知の脆弱性の有無も確認します。
主な診断項目
API診断項目 主な例
インターフェース
  • Webインターフェース(XSS)
  • Webインターフェース(CSRF)
  • クラウドインターフェースの制御
  • Webインターフェース(SQLi)
  • パラメータ推測
  • 物理インターフェースの制御
  • Webインターフェース(CMDi)
  • 例外処理に関する問題
認証/認可
  • ログイン・認証処理に関する調査
  • セッションID・トークンに関する調査
  • パスワードの強度に関する調査
  • 不適正な権限管理
ネットワークサービス
  • オープンポートの状態
  • NWレイヤの既知の脆弱性
暗号化・難読化
  • 個人情報・決済情報などの管理
  • 暗号化のロジック
  • 耐タンパー性
システム情報・ポリシー
  • システム情報の開示・エラーメッセージの表示
  • プライバシーの取り扱い
  • ファーム/ソフトウェアの既知の脆弱性

クラウドセキュリティ設定診断

クラウド環境の設定上の問題による情報漏えいや不正アクセスを未然に防ぐための検証サービスです。 各パブリッククラウド環境に特化したベンチマーク指標に基づき、専門家の知見を活かした独自の観点で評価を行い、対策方法をご提供します。
ラウドセキュリティ設定診断

ランサムウェア対策診断

規模の大小問わず、日本のあらゆる業種が被害を受けているランサムウェア攻撃に対し、3つのサービスを組み合わせることにより、 「今、そこにあるリスク」を明確にして、攻撃耐性および攻撃を受けた場合の被害範囲を把握します。

ランサムウェア感染リスク可視化

お客様のPCを使い、VESがご用意した擬似ランサムウェアをUSB等で感染した状態をシミュレートします。

擬似感染したPCからどのような情報が抜き取られるのか、または、接続されている社内ネットワークのリスクはどれほどか、影響度合いを可視化するサービスです。

サブドメイン乗っ取り対策サービス

一時的に使用するために取得したサブドメインを、使用せずにそのまま放置していると、攻撃者に乗っ取られて罠サイト等に悪用される危険があります。

Webサイト全体をスキャンすることで、サブドメインテイクオーバーの危険をいち早く察知します。

ネットワークスキャンサービス

指定されたネットワーク全体を漏れなくスキャンし、オープンポートやIPアドレスをすべてチェックします。

ネットワーク全体をスキャンし、データが外部に出やすい状態になっていないか、管理者が把握していない抜け穴や裏口、シャドーITが存在していないかを確認します。

セキュリティに関するサービスをまとめた資料をご用意しています。 資料ダウンロード

お問い合わせ
03-6277-0440

資料ダウンロード

ソフトウェアの品質向上に関するお役立ち資料や、ヴェスのサービス資料をご用意しています。
ダウンロード
Copyright © Ves All Rights Reserved.