技術の進歩に伴い、ハッカーは企業システムへの攻撃やデータを盗むにあたり、高度なプログラムや攻撃ツールを活用するようになりました。
ハッカーの攻撃手法全体としても、単一の脆弱性をつく攻撃より、効果や状況に応じて複数の脆弱性を併用・組み合わせるなど有効な手法に絞って変遷しながらシステム全体の中から弱い点をついて攻撃するマルチベクトル型攻撃が主流になるなど、ニュースなどで取り上げられる重大な脆弱性に絞っただけの対策では防止できないケースが増えてきています。
このような様々なセキュリティの課題に対し、RayAegisでは深いセキュリティの知見と合わせてAIをはじめとした業界トップレベルのテクノロジーを活用し、より簡単に、より短い期間で、より安価に、より高度なセキュリティ診断サービスとして、クイック・ツール診断、標準脆弱性診断、ペネトレーションテストの3つのメニューを用意しています。
いずれのサービスも他社とは異なる提供方式としてページ数・リクエスト数に関係しないサブドメイン単位のシンプルな価格体系となっており、予算化がしやすく、かつ費用対効果の高いサービスとして提供いたします。
このほか、TLPTやレッドチームオペレーション、IoTセキュリティや特殊なケースにおけるコンサルティングなど、お客様のご要望に合わせた個別ご提供サービスもございます。セキュリティ診断やコンサルティングなどに関して気になることがございましたら、お問い合わせページより遠慮なくご連絡ください。
各サービス検査項目
各セキュリティ診断サービスではOWASPなどの規格に準拠した試験項目をもとに診断を実施します。
実施する主なテスト項目は以下の通りです。
| 主な試験項目 | 試験項目概要 |
| 情報収集 | 対象環境の各サーバー、アプリケーションなど、プラットフォーム情報を収集します |
| 設定と構成管理のテスト | 許可されているメソッドやネットワークやアプリケーション構成に関する脆弱性を確認します。 |
| アイデンティティ管理のテスト | ユーザー登録やロール設定などアカウント管理に関する脆弱性を確認します。 |
| 認証のテスト | 認証情報の安全な転送方法やパスワードポリシーなど認証に関する脆弱性を確認します。 |
| 承認のテスト | 承認の迂回などに関する脆弱性を確認します。 |
| セッション管理のテスト | セッション管理スキームの迂回などの脆弱性を確認します。 |
| データ検証のテスト | SQLインジェクションやクロスサイトスクリプティングなどデータ検証に関する脆弱性を確認します。 |
| エラー制御のテスト | 返答されるエラーコードなどエラー制御に関する脆弱性を確認します。 |
| 暗号化のテスト | 不十分な暗号化やパディングオラクル攻撃などの脆弱性を確認します。 |
| ビジネスロジックのテスト | アプリケーションプロセスなどビジネスロジックに関する脆弱性を確認します。 |
| クライアントサイドのテスト | HTMLやCSSインジェクションやJavaScript例外などクライアント側に関する脆弱性を確認します。 |
※1 クイック・ツール診断ではサーチエンジン経由などでのデータ漏洩確認は含みません。
サービス毎のより詳しい検査項目詳細比較表が必要な場合はお問い合せよりご依頼ください。
各サービスの違い
各サービス標準価格
| サービス | 対象診断項目 | 標準価格(税抜) | 再診断 |
|---|---|---|---|
| クイック・ツール診断 | 45項目 | ¥350,000 (※1) 追加分:¥220,000 (※2) |
含む(1回) *初回診断実施後2か月以内 |
| 標準脆弱性診断 | 68項目 | ¥900,000 (※1) 追加分:¥600,000 (※2) |
含む(1回) *初回診断実施後3か月以内 |
| ペネトレーションテスト | 100項目 | ¥1,024,000 ~(※3) | 含む(何度でも) *初回診断実施後1年以内 |
| TLPT | (策定シナリオにより変動) | (個別お見積り) | |
| IoTセキュリティ | IoT機器・システム対する セキュリティ診断 |
(個別お見積り) |
※1 サブドメイン/FQDN単位。
※2 同一ドメイン内での追加サブドメイン/FQDN単位
※3 サブドメイン/FQDN単位。アカウント種別によるログイン制御の有無など、サイトの特性により単価が変動します。追加分についても同額でのご提供となります。
関連資料
各サービス毎のより詳しい検査項目詳細比較表が必要な場合はお問い合せよりご依頼ください。