SONY

Webアプリケーション診断 SQLインジェクションや クロスサイトスクリプティング(XSS)などの脆弱性を検出し、不正アクセスやマルウェアの被害を防ぎます。

  • サービスについて
  • サービスメニュー
  • よくあるご質問
サービスについて

Webアプリケーション診断は、お客様のWebサイト、Webサービスに潜むセキュリティ上の問題点を攻撃者の視点で診断し検出するサービスです。
SQLインジェクションやクロスサイトスクリプティング(XSS)などに対する脆弱性を検出し、不正アクセスやマルウェアの被害を未然に防ぎます。診断ツールの使用と専門家の手動診断を合わせることで、効率と精度の両面を満たしたサービスです。OS、ミドルウェアなどの脆弱性の検査はプラットフォーム診断をご利用ください。

各メニューの診断内容
Webアプリケーション ミドルウェア OS
  • 対象となるWebサイト例
    ・会員サイト
    ・お申し込み/問い合わせ受付サイト
    ・検索機能を有する各種サイト
    ・スマートフォン・モバイル向けサイト
    ・ECサイト
    ・社内向け特定業務用サイト
  • 対象となるサービス例
    ・スマートフォンアプリと連携する写真共有サービスなどのAPI
    ・スマートフォンアプリと連携するPush通知サービスなどのAPI
    ・PCアプリケーションと連携する会員サービスなどのAPI

    ※Web診断業者の選び方については、こちらの記事もご参照ください。
    ※対象サイト、サービスについてはお気軽にお問い合わせください。

サービスメニュー

用途やWebサイトの規模に応じて、スタンダード診断、エクスプレス診断の二つのメニューをご用意しています。どちらも診断項目は同じで、診断リクエスト数(※)によってメニューが決まります。
※診断リクエスト数は、HTTP/HTTPS リクエスト数でカウントします。

スタンダード診断
新規開発したWebサイトや診断未実施のWebサイトを網羅的に診断するのに適しています。
エクスプレス診断
規模の小さいWebサイトや改修を重ねたWebサイト等のセキュリティレベルの確認や、多数のWebサイトを運用している場合の監査に適しています。

サービスの流れはこちらからご覧ください

スタンダード診断 エクスプレス診断
診断項目 主な診断項目をご覧ください
診断対象範囲 50リクエスト程度 10リクエスト程度
診断スケジュール 診断期間は5営業日(50~70リクエスト)
報告書提出までに、5営業日
診断期間は2日営業日(10リクエスト)
報告書提出は、診断最終日の翌日
再診断 対象は危険度Medium以上の脆弱性/1回のみ(※1)
利用目的 網羅的な診断 セキュリティレベルの確認
サイト改修時

※1脆弱性の危険度は「攻撃の実現可能性」と「想定される被害の規模」により、High, Medium, Lowの3段階にレベル分けしています。

よくあるご質問

Q 予算にあわせた診断はできますか?
はい。診断対象の範囲を調整することで、ご予算に応じた診断が可能です。
Q 「脆弱性」とは何ですか?対応しないとどのようなリスクがありますか?
弊社セキュリティブログ「入門!基礎からわかる脆弱性」をご参照ください。
Q ログイン機能を重点的に診断してほしいなど、診断内容の調整はできますか?
はい。ご心配な点をお聞かせいただければ、それに合わせた診断を実施します。
項目についても、サイトの特性に応じて診断を実施することが可能です。
Q オンサイト診断はお願いできますか?
はい。診断員がお伺いして診断を行うことも可能です。
Q 検証環境が用意できませんが、診断は可能ですか?
はい。公開後の本番環境での診断も可能です。
本番環境での診断の場合、負荷を考慮するなど運用に影響が出ないよう調整の上、診断を実施します。
Q 検証環境と本番環境で構成・スペック等が異なりますが、診断は可能ですか?
はい。構成・スペックが異なる検証環境での診断も可能です。その際の注意点等は、別途ご相談ください。
Q ソースコードの提出は必要ですか?
いいえ。SDNAのWebアプリケーション診断はブラックボックステストですので、ソースコードのご提出は不要です。
Q 診断項目は何を基準に設定していますか?
SDNAのWebアプリケーション診断は既知の脆弱性を網羅的に診断します。
診断項目は以下を網羅するよう設定しています。
お客様のご希望の項目がある場合には、上記に含まれているか確認しますのでご相談ください。
Q 診断後に問い合わせをすることはできますか?
はい。発見された脆弱性に関する修正方法について、一般的な内容につきましてはアフターサービスとして無償で対応します。
Q セキュリティ診断はどのようなタイミングで実施すればよいですか?
Webサイト・Webアプリ等を新規で公開する前に、セキュリティ診断を実施することをおすすめしています。
公開後は大規模な改修のタイミングなどでご依頼いただくケースが多いです。
Q 小規模の改修の際はセキュリティ診断の必要はないですか?
いいえ、理想的には小規模な改修の場合でも、公開前には診断を実施することが望ましいです。
小規模改修時に適した、診断期間とコストがライトなプランもご用意していますのでご活用ください。
Q 特にサイト改修をしていないので、数年セキュリティ診断を実施していません。
サイトの内容が変わっていなければ、診断を再度受ける必要はありませんか?
SDNAではサイトの改修を行っていない場合でも、定期的な診断をおすすめしています。
新たに発見された攻撃の手法や、それを検出する技術は日々進化しています。
特にプラットフォーム診断については、時間がたつほど既知の脆弱性が存在している可能性が高くなりますので、
定期的に診断を受けることをおすすめしています。
Q スケジュールが厳しい状況です。開発や検証と平行して診断を行うことはできますか?
基本的は開発、検証を終えたタイミングで診断を行うことをおすすめしていますが、
状況により検証と平行して診断を行うことも可能ですので、ご相談ください。
ソフトウェア開発会社としての経験を活かし、ソフトウェア開発のフローにあわせた適切な実施タイミングをご提案します。
もっと見る閉じる
ご不明な点やお見積もりなど、まずはお気軽にお問い合わせください。
サービスご利用に関するお客様からのお問い合わせ

ソニーデジタルネットワークアプリケーションズ株式会社は、お問い合わせに際し、ご入力いただいたお客様の個人情報を以下のように取り扱います。以下をお読みいただき、ご同意いただけましたらお問い合わせにお進みください。

個人情報の取り扱いについて
  1. 個人情報の収集者・利用者・管理責任者名
    ソニーデジタルネットワークアプリケーションズ株式会社 事業推進室
  2. 収集する個人情報
    お問い合わせの際に承る、氏名、Eメールアドレス、電話番号等
  3. 個人情報の利用目的
    1.お問い合わせに対する回答
    2.製品・サービスの改善
    3.今後の商品企画の参考
    4.統計資料の作成
    5.広告・宣伝・販売促進活動(電子メールやダイレクトメール等により、製品やサービス、展示会・各種イベントのご案内を差し上げることがあります)
    6.アフターサービス等顧客サポート(登録、本人認証、緊急連絡等での利用を含む)いただいたお問い合わせへの回答にのみ、利用いたします。
    ※当社は、お問合せ関連業務の一部をソニーグループ外の会社へ委託しております。
  4. 入力必須とさせていただいた情報のご提供がない場合について
    入力必須とさせていただいた情報のご提供がない場合には、サービスの提供に応じられない場合がございますので、ご了承ください。
  5. 個人情報の開示等のご請求について
    当社は、個人情報に関する開示等を求められた場合、提供者ご本人であることの確認後、個人情報の内容確認、修正及び更新、削除、また利用及び開示に関する、同意の一部、あるいは全部の撤回について、法令に基づき速やかに応じます。
  6. 個人情報に関するお問い合わせ窓口
    個人情報に関する開示、訂正(追加・削除)、利用停止、利用目的の通知依頼、及び苦情・ご相談などにつきましては、以下の窓口までご連絡ください。
    • 窓口名 :事業推進室
    • ご連絡方法:当フォームよりご連絡ください。
  7. 個人情報の安全管理措置等について
    お預かりした個人情報はその利用目的の範囲内で正確かつ最新の内容に保つよう努め、不正アクセス、改ざん、漏洩等から守るべく適切な安全管理措置を講じます。また法令により例外として認められる場合を除き、ご本人の同意を得ることなく第三者への開示、提供は行いません。
  8. クッキー、ウェブビーコン、その他の類似技術の使用について
    当社における、クッキー、ウェブビーコンその他の類似技術の使用については、「Cookieポリシー」をご参照ください。
  9. その他、個人情報の取り扱い方針について
    当社における個人情報の取り扱い方針につきましては、「プライバシーポリシー」をご参照くださ い。
  10. お子様からの情報の収集
    当社は15歳未満のお子様からの個人情報の収集は行いません。

上記に同意の上、お問い合わせをする

※お問い合わせに進む場合は、株式会社セールスフォース・ドットコムのページへリンクします。

  • Androidアプリ脆弱性調査レポート

    最新版「Androidアプリ脆弱性調査レポート」はこちらから
  • ダウンロードコンテンツ

    「Androidセキュリティチェックリスト」「脆弱性調査レポート」などのダウンロードはこちらから
  • Secure Coding Checker 導入事例

    Androidアプリケーション脆弱性検査サービスの導入効果を株式会社サイバード様に語って頂いています。Secure Coding Checker 導入事例