WEB/API/スマホ/インフラまで、目的と構成に
合わせて最適な診断範囲・スケジュールをご提案します。
GENZの脆弱性診断は、「診断すること」自体が目的ではありません。
だから、初めての方にも選ばれています。
脆弱性診断と一口に言っても、
その 視点・範囲・深さ は会社によって大きく異なります。
GENZは、
OWASPのチェック項目をなぞるだけの診断ではなく、
実際のシステム構成・運用を踏まえた診断を重視しています。
Webアプリケーション単体ではなく、
インフラ設定や通信経路、運用状況まで含めて確認。
が潜んでいるケースは少なくありません。
「どこに本当のリスクがあるのか」を、システム全体の視点で整理します。
OWASP(※)は重要な指標の一つですが、
それだけでは、実運用に即したリスク評価が不十分な場合もあり
ます。
※OWASP:Webセキュリティに関する国際的なコミュニティプロジェクト
GENZでは、OWASPに加え、
各種ガイドライン・業界標準・お客様指定の基準にも対応し、
システム特性や利用状況を踏まえた診断を行います。
を踏まえた「多角的な評価」を実施し、
対応の優先度整理や、意思決定につながるアウトプットをご提供し
ます。
そんな状況でも、
現実的なスケジュールを前提に診断内容を調整します。
「セキュリティは後回しにできない」その気持ちに現場目線で応えます。
GENZの脆弱性診断は、単一の診断メニューではありません。
Webアプリケーション、スマートフォンアプリ、インフラまで、システム構成や目的に応じて最適な診断サービスを組み合わせて提供します。
WebシステムやWebサイト、サーバサイドAPIに対して、入力フォーム・認証機能・権限管理などを中心に、ツール診断とエンジニアによる手動診断を組み合わせて実施します。
REST / GraphQL / gRPC / AWS / Firebase 等のAPIエンドポイントに対し、不正なパラメータ操作や認証突破の可否を診断します。
iOS / Androidアプリを対象に、静的診断・動的診断の両面からアプリ固有の脆弱性や、アプリとサーバ間通信に潜むリスクを診断します。
提供されたソースコードを対象に、ツールスキャンとエンジニアによる確認を行い、実装レベルでのセキュリティリスクを洗い出します。
OS・ミドルウェア・ネットワーク設定など、インフラレイヤーにおける設定不備や既知の脆弱性を診断します。クラウド環境(AWS / Azure 等)にも対応可能です。
外部からのアクセスを前提に、不正侵入や情報漏えいにつながる可能性がないかを確認します。
| ライトプラン | アドバンスドプラン | ハイエンドプラン | |
|---|---|---|---|
| プラン特徴 | 期間をかける診断などは不要でとにかく低コスト・短納期での診断を実施したい方ヘオススメのプランとなります | リリース前の情報漏洩リスクを最小限にしたい、幅広く網羅的な診断を実施したい方ヘオススメのプランとなります | アドバンスドプランの内容に加えて特定の技術に特化した診断に対しても診断を実施したい方に向けたプランとなります |
| 主な診断手法 | ・ツールスキャン | ・ツールスキャン ・手動スキャン |
・ツールスキャン ・手動スキャン ・特定技術向け個別診断対応 |
| 対応している 診断基準(※) |
・OWASP Top10 ・OWASP ASVS ・IPA ウェブ健康診断仕様 ・NIST SP800シリーズ 等 |
・OWASP Top10 ・OWASP ASVS ・OWASP Testing Guide ・IPA ウェブ健康診断仕様 ・NIST SP800シリーズ 等 |
・OWASP Top10 ・OWASP ASVS ・OWASP Testing Guide ・独立行政法人 情報処理推進機構(IPA) ウェブ健康診断仕様 |
| 緊急性の高い脆弱性が検出された場合の対応 | 翌営業日以内に速報を作成しご報告を致します | ||
| 再診断対応 | いずれのプランであっても初回の診断完了から1年間は再診断1回無料 | ||
| 診断結果報告書 | いずれのプランであっても弊社フォーマット基準での詳細なご報告書を作成致します | ||
| ご報告会への 参加対応 |
オプションにて対応可能 | オプションにて対応可能 | オプションにて対応可能 |
※診断基準はお客様の診断対象や状況により、ご相談のうえ最終的な確定を致します
脆弱性診断が初めての方でもご安心ください。
診断内容の整理からレポート提出まで、専門エンジニアが伴走しながら進めます。
「何を、どこまで診断すべきか分からない」
という状態でも問題ありません。
状況に応じて、適切な診断範囲をご提案します。
ヒアリング内容をもとに、
をご提示します。
内容にご納得いただいた上で、
お申し込み手続きを行っていただきます。
確定した診断内容に基づき、
ツール+手動で脆弱性診断を実施します。
診断中に重大な脆弱性が確認された場合は、速報として共有します。
診断完了後、脆弱性診断報告書を提出します。
を整理し、現状把握と今後の対応判断に役立つ形でまとめます。
※オプションにて、報告会の実施も可能です。
Webアプリケーション診断、インフラ診断、いずれの場合も、基本的な進行イメージは同じです。
詳細な流れは、必要に応じて個別にご案内します。
業種・規模を問わず、さまざまなシステムの脆弱性診断を支援しています。
サービス詳細や料金表、診断事例などをまとめた資料を無料でダウンロードいただけます。
社内稟議や比較検討の資料としてご活用ください。
サービス概要・料金・プラン比較をまとめた総合資料
Webアプリケーション診断の
成果物イメージ
プラットフォーム診断の
成果物イメージ
診断でチェックする
主要項目一覧
はい、問題ありません。
専門エンジニアがヒアリングを行い、診断内容や進め方を一緒に整理します。
ドキュメントが揃っていない場合でも対応可能です。
Web/API/コード/スマホ/インフラまで一社完結。
状況に応じて段階適用が可能です。
重大な脆弱性は診断中に速報。
まずライトで広く把握し、必要箇所のみ差額で深掘りする進め方も可能です。
ISMS(ISO/IEC 27001:MSA-IS-334)を取得し、情報の取り扱いを統制しています。
診断対象や範囲、システム構成を確認した上で、内容に応じて個別にお見積りします。
まずは概算相談からでも可能です。
メールやオンラインミーティングなど、ご希望に合わせた方法で対応します。
脆弱性診断は、「今すぐ実施するかどうか」を決めていなくても問題ありません。
そんな段階からのご相談も歓迎しています。
※ 無理な営業は行いません
※ 情報収集目的のご相談でも問題ありません
