🔍 Web / Mobile アプリケーション脆弱性診断
Webサービス・スマートフォンアプリの脆弱性を専門家が診断。ツール自動診断からツール+マニュアルハイブリッド診断まで対応。SQLインジェクション、XSS、認証バイパスなどを網羅的に検出します。
サービス概要
現代のビジネスで欠かせないWebアプリケーション・スマートフォンアプリには、SQLインジェクション・XSS・認証バイパスといった脆弱性が潜んでいます。これらを放置すると、情報漏洩・不正アクセス・サービス停止につながります。
AEVUSの脆弱性診断では、OWASP Top 10をはじめとする業界標準の観点で診断を実施。発見した脆弱性は重要度・再現手順・推奨対策とともに分かりやすくレポートします。
世界標準のWebセキュリティガイドラインに基づいた診断基準で実施
スマートフォンアプリはiOS・Androidの両プラットフォームに対応
REST API・GraphQL・WebSocket等のAPIエンドポイントも診断範囲に含められます
このような課題を解決します
提供内容 — 2つの診断タイプ
目的・予算・スケジュールに応じて最適なタイプをご提案します。
タイプ A : ツールのみ 自動診断
セキュリティスキャナーを使い、既知の脆弱性パターンを自動検出します。短期間・低コストで一定のカバレッジを確保したい場合に適しています。
- 既知CVEおよびOWASP Top 10の主要パターンを自動スキャン
- スキャン結果のレビューと誤検知の除去(人的確認)
- 優先度付き脆弱性リストと推奨対策のレポート
- 納期目安:3〜5営業日(規模による)
タイプ B : ツール + マニュアル診断
自動スキャン+専門家による手動検証を組み合わせたハイブリッド診断です。ビジネスロジックの欠陥・認証バイパス・アクセス制御の甘さなど、ツールでは検出できない脆弱性も発見できます。
- 自動スキャン+専門家による手動テスト(OWASP WSTG 準拠)
- 認証機能・セッション管理・アクセス制御の詳細検証
- ビジネスロジックの不整合・権限昇格の試行
- API(REST/GraphQL)エンドポイントの詳細検証(オプション)
- 経営サマリー+技術詳細の二層レポート
- 納期目安:1〜2週間(規模・機能数による)
実施範囲
🌐 Webアプリケーション
- ログイン・認証フロー(MFA含む)
- ユーザー入力フォーム・検索・フィルター
- ファイルアップロード・ダウンロード機能
- APIエンドポイント(REST / GraphQL)
- 管理画面・バックエンド機能
- セッション管理・Cookie設定
- WebSocket通信(該当する場合)
📱 スマートフォンアプリ
- ローカルデータストレージのセキュリティ
- 通信経路の暗号化(SSL/TLSピンニング)
- リバースエンジニアリング対策
- 認証・セッション管理の実装
- アプリ間通信(Intent / Deep Link)
- バックエンドAPI連携部分
- iOS / Android 両プラットフォーム対応
成果物
エグゼクティブサマリー
経営向けのリスク概要・総評レポート
脆弱性一覧表
重要度・CVSS・ステータスを整理した一覧
個別脆弱性詳細
再現手順・スクリーンショット付きの詳細レポート
推奨対策・改善ガイド
優先度付きの改善ロードマップと実装ガイド
導入の流れ
お問い合わせ・ヒアリング
対象URL・機能概要・スケジュール・懸念点をヒアリング。最適な診断タイプと見積もりをご提示します(無料)。
NDA締結・契約
守秘義務契約を締結し、診断スコープ・作業スケジュール・テスト用アカウントなどを確認します。
診断実施
合意したスコープで診断を実施。本番環境への影響は最小化します。進捗は随時共有可能です。
レポート納品・説明会
優先度・再現手順・推奨対策を記載したレポートを納品。オンライン説明会で内容を解説します。
改善サポート・再診断
修正実装のアドバイスと、修正後の確認診断(再テスト)でリスクゼロを確認します。