SERVICEサービス

SECURITY TESTS ヒューマンクレストの脆弱性診断

ヒューマンクレストの脆弱性診断とは:ヒューマンクレストの品質改善力×イエラエセキュリティの脆弱性診断力

ヒューマンクレストの脆弱性診断の特徴

世界トップレベルの解析技術を持つ脆弱性診断企業の【イエラエセキュリティ社】と強力にタイアップし、Androidアプリ、iOSアプリ、Webアプリケーション、ネットワーク、IoT機器などの各セキュリティを手動とツールの両方面からハイブリッド診断。
プロダクト検証と脆弱性診断を一気通貫でお引き受けすることにより、情報をまとめて一括管理し、高品質と高いセキュリティレベルを同時実現いたします。

特徴1:安全性の高いセキュリティ 特徴2:検証と診断のスケジュールをまとめて管理 特徴3:検証と診断をまとめてコストダウン

脆弱性診断サービスメニュー

Webアプリケーション脆弱性診断

ツール×マニュアルのハイブリッド診断
5000アプリケーションを超える豊富な診断実績に裏付けられた高い信頼性と安全性

  • Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を実行
  • 設計・実装・ロジック等に起因した不正侵入、情報漏洩、サービス悪用を可能にする脆弱性がないか、実際にネットワークを経由して擬似攻撃(不正な値の入力、リクエスト改ざん、不正コードの挿入など)を行い、確認
  • 入出力処理、認証・認可、セッション管理、Webサーバ設定、Web2.0 等

iOS & Androidアプリ脆弱性診断

iOSアプリとAndroidアプリの両方面で、高度な解析技術でのリバースエンジニアリングによる診断を実施。
WindowsアプリやMacアプリも対応可能

    【Androidアプリ診断】
  • データ共有機能のアクセス制限チェック、アプリ間連携チェック
  • WebViewの脆弱性
  • 端末データに対する防御
  • 難読化、スタブ化チェック
    (Unityを利用したプログラムで.netのソースコードが隠蔽されているか)
    【iOSアプリ診断】
  • ログ出力のチェック、アプリ間連携のチェック
  • WebViewの脆弱性
  • iFunboxを利用した攻撃に対する防御
  • 難読化、スタブ化チェック
    (Unityを利用したプログラムで.netのソースコードが隠蔽されているか)

ネットワーク診断

稼働中のシステムへ極力負荷を与えることなく、サーバのOSやサービスを確認した上で、診断対象にどのようなリスクが存在するのかを洗い出します。
ペネトレーションテストも実施可能

  • DNSサーバ、メールサーバ、ディレクトリサーバなどのネットワーク経由サービスサーバの診断
  • ルータ、ファイアウォール、VPN装置などのネットワーク機器の診断
  • ペネトレーションテスト(侵入テスト)

【ペネトレーションテスト】
ハッカー同等の擬似攻撃をして脆弱性を診断する「ペネトレーションテスト(侵入テスト)を診断メニューに追加しました。
従来のネットワーク診断とWebアプリケーション診断に加え、カスタム擬似マルウェアを配置してAPT攻撃テストを実施することにより、社内外のサーバの脆弱性をより精密に診断します。

IoT機器脆弱性診断

IoT機器にセキュリティ上の問題点がないかを手作業で診断

  • プロトコル診断:機器固有のプロトコルに沿って異常なリクエスト送信や、承認のバイパスを試みるリクエスト送信などのテストを行い、攻撃者の利益になるような挙動を起こすことが可能かどうかを診断
  • DoSテスト:機器に異常な内容と量のリクエストを送信し、動作に支障をきたすかどうかを診断
  • ファームウェアテスト:機器のファームウェアアップデートファイルおよびアップデート過程を調べ、秘密のロジックや鍵が解析可能か、不正なアップロード(改造ファームウェアなど)が適用可能かを診断
  • その他:機器の特性を悪用した攻撃が存在していないかを診断

診断までの流れ

サービス事例

サービス事例①
案件 ECサイトのリリース前テストと脆弱性診断
課題と依頼内容 フレームワークの脆弱性を狙った不正アクセスが発覚。
ECサイトの全面リニューアルを機に、リリース前テストと脆弱性診断の両方を実施
取り組み リリース前テストと脆弱性診断のスケジュールを一緒に組むことで、効率よく作業を実施
成果 ECサイトリニューアルのローンチ前にセキュリティ上の脆弱性を見つけることができ、事故を防ぐことができた。
全社をあげてセキュリティ対策に力を注ぐようになり、以降もセキュリティ事故を防ぐことができている。
当社監修のもと、脆弱性診断ガイドライン作りも行っている
サービス事例②
案件 大手ポータルサイトの検索エンジンレンタルサイト
課題と依頼内容 社内規定により、新規リリース前には必ず診断を行なっている。
また、既存のサイトも年に1~2回は定期的に診断を行なっている
取り組み Webアプリケーションを手動とツールの両方によりハイブリッド診断。
これまで大きな問題は発見しておらず、小さな問題を発見した場合はよりセキュアな方法をアドバイスしている
成果 セキュリティが高く、かつ円滑なWebサイトシステムのリリースを支援することができた
サービス事例③
案件 広告マーケティング会社が担当するキャンペーンサイトの脆弱性診断
課題と依頼内容 サイトの暗号化通信が不十分だったため、セキュリティ事故が発生
取り組み 速やかに対応し、セキュリティ診断を行う
成果 短時間で詳細なレポートを提出することができ、セキュリティレベルが向上した
サービス事例④
案件 複数の案件を請け負っている会社の各サービスのセキュリティ診断と品質検証
課題と依頼内容 リリース前検証とセキュリティ診断を複数件まとめて実施
取り組み 複数の案件のスケジュールをまとめて組み、効率よく作業を実施
成果 テスト工程とセキュリティ診断を同時に請け負うことで、高い安全性と信頼性、品質向上とコスト削減を効率的かつ効果的に実現することができた
サービス事例⑤
案件 IoT製品の検証および脆弱性診断
課題と依頼内容 利用者拡大の中でハッキング防止が必須となる製品の、より安心・安全なシステムの確保
取り組み 製品本体とWebの両方を検証・診断。本体の診断は解体して手動で行う。
検証と診断を並行して行い、問題が見つかった場合は再度検証と診断をくり返し実施
成果 検証と診断をくり返すため、まとめて請け負うことで効率化を図り、コストダウンに繋げることができた

まずは無料相談!

さまざまな状況にも対応可能です。
サービスの詳細について、直接お伺いしてご説明させていただきます。
下記からご依頼事項についてお問い合わせください。

SERVICE

変革と研鑽

ヒューマンクレストは、ソフトウェアの品質を「評価」「検証」「改善」できるグループです。

お問い合わせ