脆弱性診断とは?ソフトウェアの健康状態を「評価」することから始める
ソフトウェアの脆弱性が悪用されることを防ぐため、ソフトウェアにおいても人間における健康診断と同じように、まずは問題を発見しそのリスクを正しく評価した上で、リスクに対してどのように対応をするのか判断する「リスクアセスメント」が欠かせません。
ゲヒルンの脆弱性診断では、攻撃者(ハッカー)と同じ視点と同じ手法を用いた疑似攻撃により高度で専門的な問題を発見します。
ソフトウェアの脆弱性が悪用されることを防ぐため、ソフトウェアにおいても人間における健康診断と同じように、まずは問題を発見しそのリスクを正しく評価した上で、リスクに対してどのように対応をするのか判断する「リスクアセスメント」が欠かせません。
ゲヒルンではツールによる自動診断を主とする形ではなく、熟練した診断員がツールを補助的に併用しながら手作業による診断を主とした精緻な診断を実施いたします。
ツールによる自動診断を主とする場合に比べて、例えば軽微な脆弱性を複合的に悪用して顕在化する重大な脆弱性など、ツールによる検出が難しい権限や認証での脆弱性の検出率がかなり高まります。
セキュリティ・キャンプ修了生が多数在籍しているほか、ハッキングコンテスト優勝・受賞歴、海外コミュニティにおける脆弱性報告歴、脆弱性報告による賞金獲得歴のあるメンバーなど、国内外トップクラスのメンバーが在籍しています。
診断が終わるとすべての診断員が集まり担当案件以外の診断結果について相互レビューを行い、できるだけ多くの有識者の目で診断結果を確認。すべての報告書はお客様のお手元に届く前にゲヒルンのすべての診断員によりレビューされます。
診断後には再診断や報告会など、お客様のご希望があれば実施をいたします。また、報告書の内容についても質問や不明点があれば、診断員から追加での説明をし、お客様のサービスをより安全になるように改修のサポートをいたします。
Webアプリケーション診断は、弊社診断員が攻撃者の視点に立ち、対象のサービスに対して擬似的な攻撃を仕掛けることで、伏在する脆弱性を発見します。
スマートフォンアプリケーション診断は、頂いたパッケージファイルの解析やアプリが利用するAPIに対する脆弱性の発見などを実施します。
プラットフォーム診断は、診断対象のサーバで稼働しているサービスやOSの既知の脆弱性・設定の不備を確認します。