Overview

サービス概要

現代のビジネスで欠かせないWebアプリケーション・スマートフォンアプリには、SQLインジェクション・XSS・認証バイパスといった脆弱性が潜んでいます。これらを放置すると、情報漏洩・不正アクセス・サービス停止につながります。

AEVUSの脆弱性診断では、OWASP Top 10をはじめとする業界標準の観点で診断を実施。発見した脆弱性は重要度・再現手順・推奨対策とともに分かりやすくレポートします。

OWASP TOP 10 準拠

世界標準のWebセキュリティガイドラインに基づいた診断基準で実施

iOS / Android 対応

スマートフォンアプリはiOS・Androidの両プラットフォームに対応

API セキュリティ診断も対応

REST API・GraphQL・WebSocket等のAPIエンドポイントも診断範囲に含められます

こんな課題に

このような課題を解決します

リリース前のセキュリティ確認をしたい

新機能・新サービスのリリース前に脆弱性を発見し、安全な状態でリリースできます。

定期的なセキュリティ診断が義務化されている

PCI DSS・ISO 27001・金融庁ガイドライン等の要件に対応する診断証跡・レポートを提供します。

顧客データを扱うサービスの安全性を証明したい

外部の第三者として診断を実施し、セキュリティ対策の信頼性を対外的に示せます。

以前の診断では見つからなかった脆弱性が不安

ツール+マニュアルの複合診断でロジック欠陥・認証バイパスなどツールでは検出できない脆弱性も発見します。

診断タイプ

提供内容 — 2つの診断タイプ

目的・予算・スケジュールに応じて最適なタイプをご提案します。

タイプ A : ツールのみ 自動診断 エントリー

セキュリティスキャナーを使い、既知の脆弱性パターンを自動検出します。短期間・低コストで一定のカバレッジを確保したい場合に適しています。

  • 既知CVEおよびOWASP Top 10の主要パターンを自動スキャン
  • スキャン結果のレビューと誤検知の除去(人的確認)
  • 優先度付き脆弱性リストと推奨対策のレポート
  • 納期目安:3〜5営業日(規模による)

タイプ B : ツール + マニュアル診断 推奨

自動スキャン+専門家による手動検証を組み合わせたハイブリッド診断。ビジネスロジックの欠陥・認証バイパス・アクセス制御の甘さなど、ツールでは検出できない脆弱性も発見できます。

  • 自動スキャン+専門家による手動テスト(OWASP WSTG 準拠)
  • 認証機能・セッション管理・アクセス制御の詳細検証
  • ビジネスロジックの不整合・権限昇格の試行
  • API(REST/GraphQL)エンドポイントの詳細検証(オプション)
  • 経営サマリー+技術詳細の二層レポート
  • 納期目安:1〜2週間(規模・機能数による)
Scope

実施範囲

🌐 Webアプリケーション

  • ログイン・認証フロー(MFA含む)
  • ユーザー入力フォーム・検索・フィルター
  • ファイルアップロード・ダウンロード機能
  • APIエンドポイント(REST / GraphQL)
  • 管理画面・バックエンド機能
  • セッション管理・Cookie設定
  • WebSocket通信(該当する場合)

📱 スマートフォンアプリ

  • ローカルデータストレージのセキュリティ
  • 通信経路の暗号化(SSL/TLSピンニング)
  • リバースエンジニアリング対策
  • 認証・セッション管理の実装
  • アプリ間通信(Intent / Deep Link)
  • バックエンドAPI連携部分
  • iOS / Android 両プラットフォーム対応
Deliverables

成果物

経営向けエグゼクティブサマリー(リスク概要・総評)
脆弱性一覧表(重要度・CVSS・ステータス)
個別脆弱性詳細レポート(再現手順・スクリーンショット)
推奨対策と実装ガイド
優先度付き改善ロードマップ
修正後確認診断(修正確認できるまで無制限)
How It Works

導入の流れ

1

お問い合わせ・ヒアリング

対象URL・機能概要・スケジュール・懸念点をヒアリング。最適な診断タイプと見積もりをご提示します(無料)。

2

NDA締結・契約

守秘義務契約を締結し、診断スコープ・作業スケジュール・テスト用アカウントなどを確認します。

3

診断実施

合意したスコープで診断を実施。本番環境への影響は最小化します。進捗は随時共有可能です。

4

レポート納品・説明会

優先度・再現手順・推奨対策を記載したレポートを納品。オンライン説明会で内容を解説します。

5

改善サポート・再診断

修正実装のアドバイスと、修正後の確認診断(再テスト)でリスクゼロを確認します。

FAQ

よくある質問

本番環境への影響を最小化した手法で実施します。高負荷を伴うテストは事前に合意の上、ステージング環境やメンテナンス時間帯に実施します。
ブラックボックス診断(ソースコードなし)が基本です。ソースコードがある場合はホワイトボックス診断も可能で、より深い検査ができます。
機能数・画面数・APIエンドポイント数によって工数が変わります。ヒアリング後に対応可能な範囲と見積もりをご提示します。
Contact

Web / Mobile 診断のご相談

まずは無料ヒアリングで、対象・課題・予算を整理します。
お気軽にお問い合わせください。

診断の相談をする 資料請求