攻めの検証で、鉄壁の守りを。
攻撃者の視点と最新のハッキング技術を用いて、システムを擬似攻撃。ツール診断と専門家による手動検査を組み合わせ、潜在的な脆弱性を徹底的に洗い出します。「もしも」のリスクを可視化し、ビジネスを止める穴を未然に封じます。
こんなお悩みありませんか?
- 「セキュリティレベルが不透明」
システム開発を委託しているが、セキュリティ対策が適切に実装されているか第三者の目で確認できていない。 - 「リリース前の不安」
新規Webサービスやアプリの公開を控えているが、致命的な欠陥がないかチェックする専門スキルが社内にない。 - 「取引先からの要求対応」
大手企業との取引開始にあたり、セキュリティチェックシートの提出や脆弱性診断の実施報告を求められている。 - 「形式的な診断への懸念」
安価な自動ツール診断を入れたことがあるが、誤検知が多く、本当に危険な脆弱性が見逃されていないか不安だ。 - 「改修方法がわからない」
診断結果として大量のレポートを渡されたが、具体的な修正方法や優先順位がわからず、開発現場が混乱している。
サービス内容
SCI総合研究所では、国際的なセキュリティ基準(OWASP Top 10など)や最新の脅威動向に基づき、Webアプリケーション、ネットワーク、スマホアプリなどの脆弱性診断を提供します。単に脆弱性を発見するだけでなく、ビジネスへの影響度を評価し、現実的な修正案を提示することで、貴社のセキュリティリスクマネジメントを支援します。
①脆弱性診断
WebサイトやWebシステムに対し、外部からの攻撃による情報漏洩や改ざんのリスクを診断します。高精度な自動診断ツールと、熟練エンジニアによる手動診断(ビジネスロジック診断)を組み合わせ、ツールでは検知できない複雑な仕様の穴まで検出します。
②ペネトレーションテスト(侵入テスト)
特定のシナリオに基づき、実際にシステムへの侵入を試みる実践的なテストです。「管理者権限を奪取できるか」「個人情報を抜き出せるか」など、具体的な脅威に対する耐性を検証し、攻撃が成功した場合の被害範囲を明らかにします。
当社の強み・特徴
- 「ビジネスインパクト評価」
技術的な重要度(CVSSスコア)だけでなく、「その脆弱性が悪用されたらビジネスにどう影響するか」という観点でリスクを評価します。 - 「可読性の高いレポート」
専門用語を並べるだけでなく、経営層への報告にも使えるサマリーと、開発者がすぐに修正に着手できる技術詳細を両立したレポートを提供します。 - 「ワンストップの改善支援」
診断して終わりではありません。発見された脆弱性に対する具体的な改修アドバイスや、修正後の再診断(リテスト)までトータルでサポートします。
事例紹介
- ITベンチャー(医療系サービス)
サービスサイトの脆弱性診断およびペネトレーションテストを実施。権限昇格の脆弱性を突き止め、顧客データの漏洩リスクを未然に防止しました。 - ITベンチャー(人材系)
サービスサイトの脆弱性診断、ペネトレーションテストおよびDDoS攻撃を想定した負荷テストを実施。認証周りの脆弱性を突き止め、顧客データの漏洩リスクを未然に防止しました。 - 中小IT企業
コーポレートサイトの脆弱性診断を実施。ライブラリ周りでの脆弱性を複数検出。
Contact
お問い合わせ
『脆弱性診断をやってみたい』
『取引先からセキュリティ診断を求められた』
『予算に合わせて診断範囲を相談したい』
など、お気軽にご相談ください。