Webセキュリティ診断

Webアプリケーション診断

開発会社だから出来る、診断から改修までのワンストップ対応

ツール診断×セキュリティ専門家の手動診断による、 網羅性の高いハイブリッド診断

イラスト

Webアプリケーション診断

AIコードレビュー

プラットフォーム診断

クラウドセキュリティ支援

経済産業省『情報セキュリティサービスマーク』取得

当「Webアプリケーション診断」サービスは経済産業省が定めた「情報セキュリティサービス基準」への適合性を情報セキュリティサービス基準審査登録委員会が審査し、適合とされたサービスを掲載する情報セキュリティサービス台帳へも登録されています。

※また、これにより、情報セキュリティサービスマークを取得しています。
※出典元:https://sss-erc.org/iss_book/

Webアプリケーション診断
イラスト

ツール診断×セキュリティ専門家の手動診断による、網羅性の高いハイブリッド診断

CTOをはじめとする経験豊富な専門家チームが、最新のセキュリティ脅威に対応した診断を提供。
日本国内シェアNo.1の脆弱性診断ツール『Vex』を採用し、高いカスタマイズ性を活かして脆弱性を網羅的かつ迅速に検出します。
自動診断と手動検証を組み合わせることで、それぞれの特性を最大限に引き出し、より確実で包括的な診断結果を提供します。

開発会社だから出来る、改修までのワンストップ対応

当社は2021年よりWeb開発と運用・保守、ならびにセキュリティ支援をワンストップにて提供しております。これらを一本化することを通じて、Web開発に知見のあるエンジニアが行うセキュリティ診断を、時間・コストを抑えた形でご提供可能です。

専門のセキュリティエンジニアが、診断計画の策定から、診断の実施、結果分析、具体的な改修提案、再診断まで一貫して提供。部分的なサービス利用にも柔軟に対応します。

診断後のフォローアップ診断(再診断)もスムーズに行えるため、セキュリティ品質を継続的に高められます。

イラスト
無料で相談する

診断項目

脆弱性診断ツールと独自のノウハウで、SQLインジェクションやXSSを含むOWASP TOP10などの脆弱性を徹底検査します。

インジェクションの脆弱性

脆弱性タイプ 解説
SQLインジェクション データベースに対する悪意のあるSQLクエリを挿入する攻撃。適切なパラメータ検証がないと、データ漏洩や改ざん、削除などが可能になる。
HTTPヘッダインジェクション レスポンスヘッダに悪意のある値を挿入する攻撃。セッション固定化やXSSなど、様々な攻撃の基盤となる。
OSコマンドインジェクション アプリケーションを通じてOSコマンドを不正に実行させる攻撃。サーバー上で任意のコマンドが実行され、システム全体が危険にさらされる。
XPathインジェクション XMLデータに対するクエリ言語XPathの脆弱性を突く攻撃。XML内の機密データにアクセスしたり、認証をバイパスしたりできる。
LDAPインジェクション ディレクトリサービスプロトコルLDAPの入力検証の不備を突く攻撃。認証回避や権限昇格などが可能になる。
NoSQLインジェクション NoSQLデータベースに対する攻撃。従来のSQLインジェクションと同様に、データの漏洩や改ざんなどが可能になる。

認証とセッションの脆弱性

脆弱性タイプ 解説
セッションフィクセーション 攻撃者が用意したセッションIDをユーザーに使用させ、認証後のセッションを乗っ取る攻撃。
セッション管理不備 セッションの生成、管理、終了に関する脆弱性。セッションハイジャックやセッション固定化などの攻撃を受けやすくなる。 
不適切なアクセス制御 認証・認可の仕組みが不十分で、権限のないユーザーがアクセスできてしまう状態。情報漏洩や不正操作につながる。

データセキュリティと通信の脆弱性

脆弱性タイプ 解説

平文通信

 データが暗号化されずに送受信される状態。通信経路上での盗聴や情報漏洩のリスクが高まる。
過度な情報漏洩 エラーメッセージやHTTPヘッダーなどから不必要な情報が外部に漏れる状態。攻撃の足がかりとなる情報を与えてしまう。 
ディレクトリトラバーサル パス名を操作して、意図していないディレクトリやファイルにアクセスする攻撃。機密ファイルの漏洩につながる。

クライアント側の脆弱性

脆弱性タイプ 解説
クロスサイトスクリプティング(XSS) Webサイトに悪意のあるスクリプトを挿入する攻撃。ユーザーのブラウザ上でスクリプトが実行され、情報窃取などが可能になる。

クロスサイトリクエストフォージェリ(CSRF)

 ユーザーが意図しないリクエストを送信させる攻撃。ユーザーの権限で不正な操作が実行される。
オープンリダイレクト 検証なしのリダイレクト機能を悪用し、ユーザーを悪意のあるサイトへ誘導する攻撃。フィッシング詐欺などに利用される。

サーバー構成とエラー処理の脆弱性

脆弱性タイプ 解説
不適切なエラー処理 例外処理が不十分で、詳細なスタックトレースなどが表示される状態。システム内部の情報が攻撃者に知られるリスクがある。
セキュリティ設定の不備 サーバーやアプリケーションのデフォルト設定や誤設定によるセキュリティホール。攻撃の入口となりやすい。
サービス運⽤妨害 システムリソースを大量に消費させ、正常なサービス提供を妨げる攻撃。大規模な場合はDDoS(分散型DoS)となる。
脆弱性を含む製品の使用 既知の脆弱性がある古いバージョンのソフトウェアやライブラリを使用している状態。パッチ適用が遅れると攻撃を受けやすい。

XMLとデシリアライゼーションの脆弱性

脆弱性タイプ 解説
XML外部実体参照(XXE) XMLパーサーの脆弱性を利用し、外部エンティティを参照させることでファイル読み取りやサービス拒否などを引き起こす攻撃。
安全でないデシリアライゼーション 信頼できないデータをデシリアライズする際の脆弱性。リモートコード実行や権限昇格などの深刻な攻撃が可能になる。

診断結果イメージ

脆弱性診断の結果は、以下のような詳細レポートとして提供されます。〈クリックで拡大〉

  • 脆弱性が検出された箇所及び操作対象となるパラメーター名
  • 脆弱性の概要
  • 脆弱性に関する詳細説明
  • 脆弱性検出時の画像
  • 操作値、脆弱性の詳細説明、対策方法が記載されています
  • 脆弱性診断サンプル
  • 脆弱性診断サンプル
  • 脆弱性診断サンプル
  • 脆弱性診断サンプル

診断サービス 一覧

システム全体を理解した開発チームが修正を対応するので、スムーズな連携が可能です。

イラスト

なりすまし

フィッシング

ウィルス感染

データベース攻撃

個人情報流出

SQLインジェクション

クロスサイトスクリプティング

ディレクトリインデックス

Webサイト改ざん

そのほか多数

Webアプリケーション診断

Webアプリケーション診断

経済産業省
『情報セキュリティサービスマーク』取得

当「Webアプリケーション診断」サービスは、経済産業省が定めた「情報セキュリティサービス基準」に適合とされたサービスを掲載する「情報セキュリティサービス台帳」へ登録されています。

国内シェアNo.1の脆弱性診断ツール『Vex』と
手動検証を組み合わせた網羅性の高い診断

デュアル診断で、SQLインジェクションやXSSを含むOWASP TOP10などの脆弱性を徹底検査します。

Webアプリケーション診断
AIコード診断(RAG対応)

AIコードレビュー

外部診断と内部診断の併用で、
網羅的なリスク検出が可能に

表層的な挙動では発見しづらいリスクや、実装レベルでの脆弱性にも対応可能です。両者の併用により、単独診断では見落とされやすいセキュリティリスクを広くカバーします。

RAGによりコストの軽減と、
診断精度の向上、対応スピードの改善を実現

従来は人手に頼っていた高コストな工程の効率化が可能になりました。

AIコードレビュー
プラットフォーム診断

プラットフォーム診断

サーバーやネットワーク機器の状態を診断し、
サイバー攻撃に備えます

サーバー・ネットワーク・OSの設定不備を含む、プラットフォーム全体のセキュリティを評価します。

プラットフォーム診断
クラウドセキュリティ支援

クラウドセキュリティ支援

クラウドサービスを安全に運用するための
ルールやフロー作成を支援します

AWS・Azureなどの、クラウドサービス特有の設定ミスやセキュリティリスクを考慮した改善策を提案します。

クラウドセキュリティ支援

はじめてのWebセキュリティ診断

安心パッケージ(初回限定)

初めての方におすすめのパッケージ。
Webアプリケーション診断、プラットフォーム診断、クラウドセキュリティ支援を一括で提供します。

    Webセキュリティ診断 1回 + 定期診断 3回(45日間 )

\サービス立ち上げ時の導入がおすすめ/

無料で相談する

サービス導入の流れ

flow-1
無料相談&ご契約

まずはお気軽にお問い合わせください。お客様のニーズに合わせた最適なプランをご提案します。

flow-2
診断・分析・報告

AIとセキュリティ専門家による高精度な診断を実施します。発見された脆弱性の報告を行います。

flow-3
改修

診断の結果、⼤きな脆弱性が⾒つかった場合は弊社エンジニアによる改修作業の実施も可能です。

flow-4
報告会&継続サポート

修正後の再診断と継続的なセキュリティ対策をご提案します。

無料で相談する
株式会社divxのロゴイメージ

株式会社divx

株式会社divxは、2021年創業のクリエイティブカンパニーで、AI技術を活用したソフトウェア開発およびソリューション提供を行っています。当社は、事業のDX(デジタルトランスフォーメーション)を推進するため、デジタル分野におけるコンサルティングからサービス開発・運用まで一貫した対応が可能な体制を構築しています。
加えて、当社は2022年にAWSセレクトティアサービスパートナーの認定を受け、クラウドサービスに関する技術力が高い評価を得ています。

よくあるご質問

Q.

料金体系は?

A.

お客様のご要望に応じて柔軟なプランをご提案します。まずは無料相談フォームからお問い合わせください。

Q.

診断後のサポートは?

A.

診断後の改修・再診断も当社が直接対応可能です。再診断や定期診断のご提案も行っています。

お見積り・お問い合わせ(無料)

お客さまのニーズに合わせた、柔軟なご契約

定期的に診断して欲しい

重要な項目から始めたい

予算内で済ませたい

診断から改善を全て任せたい

まずは⼀度お打ち合わせのお時間をいただき、ご要望やご予算をお知らせください。
お⾒積もりをお出しいたします。

会社でお使いのメールアドレスをご記入ください。
個人情報の取り扱いについて
以下をご確認頂き、「同意する」にチェックをお願い致します。

1. 事業者の氏名又は名称
 株式会社divx

2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
 経営管理部部長
 連絡先:info@divx.co.jp

3. 個人情報の利用目的
 ・お問い合わせ対応、弊社サービスのご案内と、当該サービスの実施、運営(本人への連絡を含む)のため
 ・本サービスに関連した、各種情報のご案内のため

4. 個人情報取扱いの委託
 当社は事業運営上、前項に定める利用目的の範囲に限り、個人情報を外部に委託することがあります。この場合、個人情報保護水準の高い委託先を選定し、個人情報の適正管理・機密保持についての契約を交わし、適切な管理を実施させます。

5. 個人情報の開示等の請求
 ご本人様は、当社に対してご自身の個人情報の開示等(利用目的の通知、開示、内容の訂正・追加・削除、利用の停止または消去、第三者への提供の停止)に関して、下記の当社問合わせ窓口に申し出ることができます。その際、当社はお客様ご本人を確認させていただいたうえで、合理的な期間内に対応いたします。
ただし、申請が本人確認不可能な場合や、個人情報保護法の定める要件を満たさない場合等により、ご希望に添えない場合があります。なお、アクセスログなどの個人情報以外の情報については、原則として開示等はいたしません。

6. 個人情報を提供されることの任意性について 
 ご本人様が当社に個人情報を提供されるかどうかは任意によるものです。ただし、必要な項目をいただ
けない場合、適切な対応ができない場合があります。

【お問合せ窓口】
名称:株式会社divx
住所:〒107-0052 東京都港区赤坂8-4-14 青山タワープレイス6階
メールアドレス:info@divx.co.jp

2024年12月23日 改定
DIVX

プライバシーマーク一般社団法人 生成 AI 活用普及協会 シニアパートナーロゴ

〒107-0052
東京都港区赤坂8-4-14 青山タワープレイス6階

©株式会社divx