Overview
サービス概要
ご提供いただいたAPI仕様書に従って正常・不正なリクエスト送信により脆弱性を確認いたします。 270名以上の有資格者と独⾃AIツールを活⽤した診断により⾼速で安価に、⾼品質な診断を提供いたします。
API診断とは
API診断では、スマートフォンアプリケーションやSPAなどのバックエンドで利⽤されているAPIやSaaSなどで提供する外部向け独⾃APIに対し、
対象APIの仕様を理解したうえで網羅的な脆弱性診断を⾏います。
⾼度なセキュリティエンジニアが独⾃AIツールを活⽤し、ツール並びに⼿動での診断を組み合わせて脆弱性を確認します。
APIは、実装により独⾃の仕様や利⽤できるパラメータなどが⾃由に設計できるためWebアプリケーションよりも処理ステップに着⽬し、⼀部のステップの迂回など、ビジネスロジック上の脆弱性がないかなどの確認が必要です。
こんなお客様におすすめ
多数のAPIを短期間に診断して欲しい
数が多く、まとめて安価で診断したい
モバイルアプリやWebアプリなど、APIが実装されている
ものと同時に診断してほしい
レイ・イージスの強み
- 有資格270名以上による⾼品質診断
- CISSP、CEH、情報処理安全確保⽀援⼠などの有資格者270名以上によって、⾼品質なセキュリティ診断を提供します。
- 独⾃AIツールを活⽤した⾼速診断
- 独⾃AIツールの活⽤により、⾼速での診断が可能になっております。診断期間に関しましては、お問い合わせください。
- お客様に合わせた診断プラン
- APIが実装されているWebアプリケーションやモバイルアプリの診断と併せての診断など、お客様に合わせて最適なプランをご提案させていただきます。
参考価格
基本料⾦200,000円+19,800円/1APIコマンドあたり
診断項目
OWASP API Security Top10:2019に準拠した外部診断
※API10:2019に関しては、内部のログ記録⽅法・設定に関することとなっており、外部からの診断では確認不可となるため対象外となります。
OWASP API Security Top10:2019
| API1:2019 | オブジェクトレベルの認可の不備/Broken Object Level Authorization |
| API2:2019 | 認証の不備/Broken User Authentication |
| API3:2019 | データの過剰な露出/Excessive Data Exposure |
| API4:2019 | リソース制限と帯域制限の不足/Lack of Resources & Rate Limiting |
| API5:2019 | 機能レベルの認可の不備/Broken Function Level Authorization |
| API6:2019 | ⼀括割り当て/Mass Assignment |
| API7:2019 | セキュリティの設定ミス/Security Misconfiguration |
| API8:2019 | インジェクション /Injection |
| API9:2019 | 不適切なアセット管理/Improper Assets Management |
| API10:2019 | 不⼗分なロギングとモニタリング/ Insufficient Logging & Monitoring |
併せてご提案が可能なサービス
AIリモート脆弱性診断
独⾃AIツールでのツール診断に⼿動診断を加えたWebアプリケーション診断です。FQDN単位の定額制となっており、ページ数やリクエスト数の制限はございません。 提供価格(税別):980,000円/1FQDN
モバイルアプリ診断
独⾃AIツールを使⽤してiOS/Androidモバイルアプリケーションへの診断
を⾏います。コードなどに埋め込まれた通信先IPアドレスやURLのレピュテーションも⾏うため、ソフトウェアサプライチェーン攻撃の防⽌対策としても活⽤いただけます。
提供価格(税別):450,000円〜
御見積から提供までの流れ
お申込み
お問い合わせフォームよりお申込みください
ヒアリング
担当者よりご連絡させていただき、
貴社システムやAPIパラメーターシート(仕様書)を
ご提出いただきます。
御見積
ヒアリングの内容をもとに御見積いたします。
ご発注
御見積にご納得いただけましたら正式に発注いただきます。
診断日程調整
発注後、診断を実施する日程を調整いたします。
診断実施
診断作業を実施いたします。
始めにAIツールなどによる自動診断を行い、その後経験豊富な
セキュリティエンジニアによる手動診断を実施いたします。
(通常10営業日程度)
結果報告・対策のご提案
診断結果をメールにてお送りいたします。
脆弱性が検知された場合はその対策方法についても記載させていただきます。
(診断実施から5営業日程度)
報告会
診断結果について、診断員が解説いたします。
再診断
脆弱性への対策を行った場合には、当該脆弱性部分に関する再診断を実施いたします。
無償での再診断は1回のみとなります。
診断対象が複数の場合はまとめてご依頼いただけますようお願いいたします。
(報告書提出日から3か月以内)