QAコンサルティング・マネジメントサービス
QAチーム立ち上げ支援
品質エンジニアリング・ソフトウェアテスト
テストセンター
テスト自動化エンジニアリング
アジャイルテスト
セキュリティ脆弱性診断
負荷テスト・性能テスト
AWSマイグレーションテスト
リグレッションテスト自動化サービス「Lynx」
APIテストクラウドサービス「RakAPIt」
代表メッセージ
会社概要
沿革
組織構成
マネジメントチーム
サービスに関するお問い合わせ
ヒューマンクレストの脆弱性診断の特徴
世界トップレベルの解析技術を持つ脆弱性診断企業の【GMOサイバーセキュリティ byイエラエ株式会社】と強力にタイアップし、Androidアプリ、iOSアプリ、Webアプリケーション、ネットワーク、IoT機器などの各セキュリティを手動とツールの両方面からハイブリッド診断。
プロダクト検証と脆弱性診断を一気通貫でお引き受けすることにより、情報をまとめて一括管理し、高品質と高いセキュリティレベルを同時実現いたします。
脆弱性診断サービスメニュー
❶ Webアプリケーション脆弱性診断
- Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を実行
- 設計・実装・ロジック等に起因した不正侵入、情報漏洩、サービス悪用を可能にする脆弱性がないか、実際にネットワークを経由して擬似攻撃(不正な値の入力、リクエスト改ざん、不正コードの挿入など)を行い、確認
- 入出力処理、認証・認可、セッション管理、Webサーバ設定、Web2.0 等
❷ iOS & Androidアプリ脆弱性診断
- データ共有機能のアクセス制限チェック、アプリ間連携チェック
- WebViewの脆弱性
- 端末データに対する防御
- 難読化、スタブ化チェック
(Unityを利用したプログラムで.NETのソースコードが隠蔽されているか)
【Androidアプリ診断】
- ログ出力のチェック、アプリ間連携のチェック
- WebViewの脆弱性
- iFunboxを利用した攻撃に対する防御
- 難読化、スタブ化チェック
(Unityを利用したプログラムで.NETのソースコードが隠蔽されているか)
【iOSアプリ診断】
❸ ネットワーク診断
- DNSサーバ、メールサーバ、ディレクトリサーバなどのネットワーク経由サービスサーバの診断
- ルータ、ファイアウォール、VPN装置などのネットワーク機器の診断
- ペネトレーションテスト(侵入テスト)
【ペネトレーションテスト】
ハッカー同等の擬似攻撃をして脆弱性を診断する「ペネトレーションテスト(侵入テスト)を診断メニューに追加しました。
従来のネットワーク診断とWebアプリケーション診断に加え、カスタム擬似マルウェアを配置してAPT攻撃テストを実施することにより、社内外のサーバの脆弱性をより精密に診断します。
❹ IoT機器脆弱性診断
- プロトコル診断:機器固有のプロトコルに沿って異常なリクエスト送信や、承認のバイパスを試みるリクエスト送信などのテストを行い、攻撃者の利益になるような挙動を起こすことが可能かどうかを診断
- DoSテスト:機器に異常な内容と量のリクエストを送信し、動作に支障をきたすかどうかを診断
- ファームウェアテスト:機器のファームウェアアップデートファイルおよびアップデート過程を調べ、秘密のロジックや鍵が解析可能か、不正なアップロード(改造ファームウェアなど)が適用可能かを診断
- その他:機器の特性を悪用した攻撃が存在していないかを診断
診断までの流れ
診断対象のサービス・プロダクトの内容をヒアリング
その内容やドキュメントを基に見積もりをご提示
サービスお申し込み
お見積もりを確認の上、サービスのお申し込み
診断実施
結果レポートの提出
必要に応じて報告会を開催
発見された脆弱性の内容と結果の報告書を提出
再診断
必要に応じて再診断
サービス事例
| サービス事例① | |
|---|---|
| 案件 | ECサイトのリリース前テストと脆弱性診断 |
| 課題と依頼内容 | フレームワークの脆弱性を狙った不正アクセスが発覚。 ECサイトの全面リニューアルを機に、リリース前テストと脆弱性診断の両方を実施 |
| 取り組み | リリース前テストと脆弱性診断のスケジュールを一緒に組むことで、効率よく作業を実施 |
| 成果 | ECサイトリニューアルのローンチ前にセキュリティ上の脆弱性を見つけることができ、事故を防ぐことができた。 全社をあげてセキュリティ対策に力を注ぐようになり、以降もセキュリティ事故を防ぐことができている。 当社監修のもと、脆弱性診断ガイドライン作りも行っている |
| サービス事例② | |
|---|---|
| 案件 | 大手ポータルサイトの検索エンジンレンタルサイト |
| 課題と依頼内容 | 社内規定により、新規リリース前には必ず診断を行なっている。 また、既存のサイトも年に1~2回は定期的に診断を行なっている |
| 取り組み | Webアプリケーションを手動とツールの両方によりハイブリッド診断。 これまで大きな問題は発見しておらず、小さな問題を発見した場合はよりセキュアな方法をアドバイスしている |
| 成果 | セキュリティが高く、かつ円滑なWebサイトシステムのリリースを支援することができた |
| サービス事例③ | |
|---|---|
| 案件 | 広告マーケティング会社が担当するキャンペーンサイトの脆弱性診断 |
| 課題と依頼内容 | サイトの暗号化通信が不十分だったため、セキュリティ事故が発生 |
| 取り組み | 速やかに対応し、セキュリティ診断を行う |
| 成果 | 短時間で詳細なレポートを提出することができ、セキュリティレベルが向上した |
| サービス事例④ | |
|---|---|
| 案件 | 複数の案件を請け負っている会社の各サービスのセキュリティ診断と品質検証 |
| 課題と依頼内容 | リリース前検証とセキュリティ診断を複数件まとめて実施 |
| 取り組み | 複数の案件のスケジュールをまとめて組み、効率よく作業を実施 |
| 成果 | テスト工程とセキュリティ診断を同時に請け負うことで、高い安全性と信頼性、品質向上とコスト削減を効率的かつ効果的に実現することができた |
| サービス事例⑤ | |
|---|---|
| 案件 | IoT製品の検証および脆弱性診断 |
| 課題と依頼内容 | 利用者拡大の中でハッキング防止が必須となる製品の、より安心・安全なシステムの確保 |
| 取り組み | 製品本体とWebの両方を検証・診断。本体の診断は解体して手動で行う。 検証と診断を並行して行い、問題が見つかった場合は再度検証と診断をくり返し実施 |
| 成果 | 検証と診断をくり返すため、まとめて請け負うことで効率化を図り、コストダウンに繋げることができた |
まずは無料相談!
さまざまな状況にも対応可能です。
サービスの詳細について、ご説明させていただきます。
下記からご依頼事項についてお問い合わせください。
