ウェブサイトセキュリティ

ウェブサイトセキュリティ分析

OWASP に沿ったウェブサイトセキュリティ分析。あなたのサイトやウェブアプリの脆弱性、設定ミス、露出を、概念実証付き、リスク評価付きのレポートで見つけ出します。ご希望に応じて修正し、ハードニングも代行します。

OWASP Top 10 SSL/TLS & headers WAF & CMS
OWASP Top 10エンドツーエンドでテスト
SSLとヘッダー確認し強化
CMSとプラグインWordPress、Joomla など
修正も行います修正 + WAF

当社のウェブサイトセキュリティ分析の対象範囲

攻撃者の視点で、OWASP に沿ってあなたのサイトをテストし、優先順位付きの計画をお渡しするか、こちらでハードニングします。対象範囲の一例:

OWASP Top 10 テスト

OWASP による最も重大なウェブアプリケーションリスクトップ10に対する包括的なテスト。

SSL/TLS とセキュリティヘッダー

証明書、暗号スイート、HSTS のレビュー、加えて Content-Security-Policy などの保護ヘッダー。

認証とセッションのセキュリティ

ログイン機構、パスワードポリシー、セッション管理、多要素認証。

XSS、SQLi、インジェクション

反射型・格納型・DOMベースの XSS、SQL インジェクション、データベースの露出。

CMS とプラグインの評価

CMS のバージョン、プラグイン、テーマ、WordPress や Joomla などの既知の脆弱性。

WAF、ハードニング、サポート

任意の修正、WAF の設定、SSL/TLS と CMS のハードニング、30日後の検証スキャン。

私たちのプロセス

1

偵察とスコープ定義

ドメイン、サブドメイン、エントリーポイント、技術スタックを含め、サイトの攻撃対象領域をマッピングします。

2

OWASP ベースのテスト

OWASP Top 10 に対して体系的にテストします。インジェクション、XSS、認証の欠陥、設定ミスなど。

3

脆弱性分析

各指摘を検証し、深刻度(CVSS)を評価し、概念実証の証拠とともに文書化します。

4

詳細レポートとアクションプラン

優先順位付きの修正手順と明確な技術的ガイダンスを含む包括的なレポートをお渡しします。

5

修正と検証

フルプランをお選びいただいた場合、問題を修正し、セキュリティヘッダーと WAF を設定し、SSL/TLS と CMS をハードニングし、30日後に再スキャンします。

見積もりを依頼する

あなたのウェブサイトについてお聞かせください。義務はなく、英国を拠点とする当社のエンジニアリングチームによる誠実な技術的アドバイスのみです。1営業日以内に返信します。

ドメインと、使用している CMS またはフレームワークをお知らせください。1営業日以内に返信します。
ありがとうございます!お見積もりのご依頼を送信しました。まもなく内容に合わせた見積もりをお送りします。
256ビット SSL 暗号化 お客様のデータは非公開に保たれます NDA available

ウェブサイトセキュリティに関するよくある質問

ウェブサイトセキュリティ分析とは何ですか?
あなたのサイトやウェブアプリの、OWASP に基づく徹底的なセキュリティ弱点テストです。インジェクションと XSS、認証とセッションの欠陥、SSL/TLS とヘッダーの設定ミス、CMS とプラグインの脆弱性、情報漏えいを対象とします。概念実証と明確な修正を含む、リスク評価付きのレポートを受け取れます。
これはペネトレーションテストですか?
稼働中のサイトに対して OWASP のペネトレーションテスト手法に従い、指摘は検証され CVSS で評価されます。コンプライアンスのために、スコープを取り決めた正式なペンテストも別途必要であれば、ご助言し手配します。
問題を報告するだけですか、それとも修正できますか?
両方の選択肢があります。分析プランはレポートを提供します。フルプランでは、脆弱性を修正し、セキュリティヘッダーを設定し、WAF を構成し、SSL/TLS と CMS をハードニングし、その後に検証スキャンを実施します。
WordPress やその他の CMS サイトを保護しますか?
はい。CMS サイトは頻繁に狙われるため、CMS のバージョン、プラグイン、テーマを既知の脆弱性について評価し、その後インストールをハードニングし、リスクのあるコンポーネントを更新し、管理者アクセスを制限できます。WordPress、Joomla などに対応します。
テストでサイトがダウンしたり、訪問者に影響しますか?
支障を避けるため慎重にテストし、侵襲的なテストにはステージングのコピーを推奨します。本番サイトをテストする必要がある場合は、訪問者に影響が出ないよう、まず方針とタイミングをお客様と合意します。
WAF とセキュリティヘッダーを設定できますか?
はい。フルプランの一環として、Web アプリケーションファイアウォール(WAF)とセキュリティヘッダーの一式(Content-Security-Policy、X-Frame-Options、HSTS など)を設定し、一般的な攻撃やボットをブロックします。
開始にあたって何が必要ですか?
ドメイン、稼働している CMS またはフレームワーク、ホスティングの詳細があれば、範囲を定めるのに十分です。実装については、必要なアクセスを安全にお客様と手配します。
当社のアクセスとデータをどのように安全に扱いますか?
最小権限の安全なアクセスで作業し、認証情報を慎重に扱い、詳細を共有する前に NDA を締結できます。指摘はお客様に非公開でお渡しし、他所に開示することはありません。
どのくらい時間がかかりますか?
サイトの規模と複雑さによります。最初の範囲確認の会話の後、明確なスケジュールをお伝えし、必要なハードニングはお客様のニーズに合わせて別途計画します。
サイトがハッキングされました。クリーンアップを手伝ってもらえますか?
はい。侵害されたサイトを評価し、どのように起きたかを特定し、問題を除去し、再発しないようハードニングできます。状況をお知らせいただければ、最も速く安全な方法をご助言します。
顧客や保険会社に見せられるものは得られますか?
はい。レポートには、何をテストしたか、リスク評価、概念実証、修正が記載されており、セキュリティ質問票、デューデリジェンス、保険会社、そしてお客様自身の顧客に対する有用な証拠になります。
見積もりプロセスはどのように進みますか?
ウェブサイトについてお聞かせいただき、適したオプションをお選びください。内容を確認し、通常1営業日以内に、固定スコープのオーダーメイド見積もりをお送りします。無料で義務はありません。

まず相談したいですか?

まだ依頼を送る準備ができていませんか?以下のいずれかの方法でご連絡いただければ、プロジェクトについてご相談に応じます。

すべてのメッセージに24時間以内に返信します。