サービス概要
ご提供いただいたAPI仕様書に従って正常・不正なリクエスト送信により脆弱性を確認いたします。 330名以上の有資格者と独⾃AIツールを活⽤した診断により⾼速で安価に、⾼品質な診断を提供いたします。
Webアプリケーション脆弱性診断とは
API診断とは
現在、多くの企業や組織が、機微な情報のやり取りにAPIを活用していることもあり、このAPIの脆弱性を突いた攻撃が増えています。
API診断では、スマートフォンアプリケーションやSPAなどのバックエンドで利⽤されているAPIやSaaSなどで提供する外部向け独⾃APIに対し、対象APIの仕様を理解したうえで網羅的な脆弱性診断を⾏います。
⾼度なセキュリティエンジニアが独⾃AIツールを活⽤し、ツール並びに⼿動での診断を組み合わせて脆弱性を確認します。
APIは、実装により独⾃の仕様や利⽤できるパラメータなどが⾃由に設計できるためWebアプリケーションよりも処理ステップに着⽬し、⼀部のステップの迂回など、ビジネスロジック上の脆弱性がないかなどの確認が必要です。
こんなお客様におすすめ
- 多数のAPIを短期間に診断して欲しい
- 数が多く、まとめて安価で診断したい
- モバイルアプリやWebアプリなど、APIが実装されているものと同時に診断してほしい
参考価格
◼️脆弱性診断
基本料⾦200,000円+19,800円/API(メソッド)
◼️ペネトレーションテスト
基本料⾦450,000円+35,000円/API(メソッド)
診断項目
OWASP API Security Top 10:2023に準拠した外部診断
当社では、OWASP API Security Top 10:2023に準拠した外部診断サービスを提供しております。この診断は、APIのセキュリティを強化し、潜在的な脆弱性を特定することを目的としています。お客様のビジネスを安全に保つために、最新のセキュリティ基準に基づいた包括的な分析を行います。
OWASP API Security Top10:2023
API1 : 2023 | オブジェクトレベルの認可の不備 |
API2 : 2023 | 認証の不備 |
API3 : 2023 | オブジェクトプロパティレベルの認可不備 |
API4 : 2023 | 制限のないリソース消費 |
API5 : 2023 | 機能レベルの認可の不備 |
API6 : 2023 | 機密性の高いビジネスフローへの無制限のアクセス |
API7 : 2023 | サーバーサイドリクエストフォージェリ |
API8 : 2023 | セキュリティの設定不備 |
API9 : 2023 | 不適切なインベントリ管理 |
API10 : 2023 | APIの安全でない使用 |
御見積から提供までの流れ(スケジュール)
STEP | 1日目 | 2-3日目 | 4-5日目 | 6-8日目 | 9-18日目 | 19-23日目 | 24日目 | (後日) |
---|---|---|---|---|---|---|---|---|
お申込み | ||||||||
ヒアリング | ||||||||
御見積 | ||||||||
ご発注 | ||||||||
診断日程調整 | ||||||||
診断実施 | ||||||||
結果報告・対策のご提案 | ||||||||
報告会 | ||||||||
再診断 |
御見積から提供までの流れ(詳細)
お問い合わせフォームよりお申込みください
担当者よりご連絡させていただき、貴社システムやAPIパラメーターシート(仕様書)をご提出いただきます。
ヒアリングの内容をもとに御見積いたします。
御見積にご納得いただけましたら正式に発注いただきます。
発注後、診断を実施する日程を調整いたします。
診断作業を実施いたします。
始めにAIツールなどによる自動診断を行い、その後経験豊富なセキュリティエンジニアによる手動診断を実施いたします。(通常10営業日程度)
診断結果をメールにてお送りいたします。
脆弱性が検知された場合はその対策方法についても記載させていただきます。
(診断実施から5営業日程度)
診断結果について、診断員が解説いたします。(オンラインでのご説明)
脆弱性への対策を行った場合には、当該脆弱性部分に関する再診断を実施いたします。
無償での再診断は1回のみとなります。
診断対象が複数の場合はまとめてご依頼いただけますようお願いいたします。
(報告書提出日から3か月以内)