ンテックスの「セキュリティ脆弱性診断」では、サイバーセキュリティの課題に対応するため、
ソフトウェア、ミドルウェア、OSなどに存在する脆弱性を評価し、結果に基づき対策案をご提示いたします。

社の診断サービスは、大手メーカー企業や大手デベロッパー企業をはじめ、
さまざまな業種の企業様からご依頼をいただいており、その結果高い評価を得ています。

Four Points

WebアプリケーションスマホアプリケーションサーバネットワークOSIoT機器

などに存在する

などに存在するセキュリティ上の認識できていない欠陥やシステムの弱点を可視化することで、情報漏えいやサービス停止等の事故を
未然に防ぐための、サイバーセキュリティ課題への対処をサポート!

sds-point1
熟練の診断士
による安心の診断
sds-point2
通算700件以上の
診断実績
sds-point3
予算に応じた
最適な診断が可能
sds-point4
診断後も手厚い
サポート体制
ご相談・お問い合わせ

Diagnosis Results

診断実績の業種はさまざま診断実績の業種はさまざま
エネルギー
エネルギー電力 / ガス /
太陽光
鉄道
鉄道
金融
金融銀行 / 保険
メディア
メディア新聞社
IT
IT
医療機関
医療機関
行政機関
行政機関
自動車メーカー
自動車
メーカー
電機メーカー
電機
メーカー
ハウスメーカー
ハウス
メーカー
運送会社
運送会社
警備会社
警備会社
小売
小売百貨店 /
スーパー
アパレル
アパレル
人材
人材
エージェント
エネルギー
エネルギー電力 / ガス /
太陽光
鉄道
鉄道
金融
金融銀行 / 保険
メディア
メディア新聞社
IT
IT
医療機関
医療機関
行政機関
行政機関
自動車メーカー
自動車
メーカー
電機メーカー
電機
メーカー
ハウスメーカー
ハウス
メーカー
運送会社
運送会社
警備会社
警備会社
小売
小売百貨店 /
スーパー
アパレル
アパレル
人材
人材
エージェント
ご相談・お問い合わせ

Vulnerability Assessment

スマホアプリ診断

01スマホアプリ診断

スマホアプリ診断
    • 公開されているスマートフォン向けのアプリケーション
    • アプリケーションとWebサーバ間の通信
    • Webサーバ側 など
スマホアプリ診断表
通信
意図しない通信
平⽂による情報送受信
SSL/TLS証明書検証の不備
データログ
平⽂による内部ストレージへの重要情報保存
データ改ざんによる不正⾏為
ファイルパーミッションの設定不備
外部ストレージ(SDカード)への重要情報保存
デバッグログへの重要情報出⼒
設計/実装
コンテントプロバイダのアクセス制御不備
公開Activity等からの重要情報の漏えい等
WebView関連の脆弱性
耐タンパー性の不⾜
アプリへの秘密情報埋め込み
Webサーバ設定(スマホAPI併用)
許可されているHTTPメソッド
サーバエラーメッセージ
システム情報の開示
一般的な脆弱性(スマホAPI併用)
既知のソフトウェア脆弱性
強制ブラウジング
ディレクトリリスティング
Web 2.0(スマホAPI併用)
Flashコンテンツの脆弱性
Ajaxコンテンツの脆弱性
入出力処理(スマホAPI併用)
クロスサイトスクリプティング
SQLインジェクション
コマンドインジェクション
ディレクトリトラバーサル
ファイルアップロード
HTTPヘッダインジェクション
フィッシング詐欺サイトへの誘導
パラメータ改ざん
メールの第三者中継
認証(スマホAPI併用)
ログインフォームに関する調査
ログインエラーメッセージの調査
ログイン・個人情報の送受信に関する調査
アカウントロック機能
ログアウト機能
認証の回避
認可(スマホAPI併用)
権限昇格
権限のない情報へのアクセス
セッション管理(スマホAPI併用)
Cookieのsecure属性
Cookieの有効期限
セッションIDのランダム性確認
セッション固定
セッションの強制指定
クロスサイトリクエストフォージェリ
スマホアプリ診断

02Webアプリケーション診断

スマホアプリ診断
    • ECサイトサービスサイト
    • コーポレートサイト社内システム
    • アプリケーションとサーバ間の通信 など
Webアプリケーション診断表
入出力処理
クロスサイトスクリプティング
SQLインジェクション
コマンドインジェクション
HTTPヘッダインジェクション
LDAPコマンド・インジェクション
ディレクトリトラバーサル
ファイルアップロード・ダウンロード
ファイルインクルージョン
安全でないデシリアライゼーション
フィッシング詐欺サイトへの誘導
メールの第三者中継
その他のパラメータ操作
認証
ログインフォームに関する調査
ログインエラーメッセージの調査
アカウントロック機能
ログアウト機能
認証の回避
Web 2.0
Flashコンテンツの脆弱性
Ajaxコンテンツの脆弱性
認可
権限昇格
権限のない情報へのアクセス
パスワード使用状況
セッション管理
Cookieの使用状況
セッションIDの使用状況
クロスサイトリクエストフォージェリ
通信
キャッシュ制御
通信の暗号化強度
リファラ情報
Webサーバ設定
許可されているHTTPメソッド
サーバエラーメッセージ
システム情報の開示
一般的な脆弱性
既知のソフトウェア脆弱性
強制ブラウジング
ディレクトリリスティング
クリックジャッキング
プラットフォーム診断

03プラットフォーム診断

プラットフォーム診断
    • Webサーバファイルサーバ
    • メールサーバや社内共有サーバ等
    • NWやOS、ミドルウェア など
プラットフォーム診断表
情報収集に対する対策有無
公開情報の収集
ICMPによる情報収集
稼働ポートおよびサービスの確認
TCPおよびUDPに対するポートスキャン
稼働ポートのバナーチェック
稼働サービスにおける固有の脆弱性の有無
認証系サービスに対するパスワード強度確認
暗号化ポートの暗号強度確認
脆弱なバージョンを特定できる攻撃の試行
プラットフォーム診断

04ファームウェア/ IoT診断

プラットフォーム診断
    • ハードウェアファームウェア
    • バイナリファイル
    • 機器のインターフェース など
ファームウェア/ IoT診断表
バイナリ解析

① 診断対象のファームウェアイメージを展開
② ファイルシステムからファイルを抽出
③ ユーザプログラムを特定
④ 証明書や鍵などが平文でイメージ内に無いかを調査
⑤ ユーザプログラムにて重要通信を行う箇所の権限を調査

既知の脆弱性検証

① 診断対象のファームウェアイメージを展開
② ファイルシステムからOSとモジュールファイルを抽出
③ CVEデータベースより既知脆弱性の有無を調査

ファームウェア解析

① 診断対象のファームウェアイメージを展開
② ファイルシステムからOS設定に関するファイルを抽出
③ OSの設定情報を検証し、設定対して診断を実施

ネットワークスキャン
USB
Bluetooth
無線LAN
ご相談・お問い合わせ

Diagnosis Results

診断までの流れ
STEP

ヒアリング

ヒアリング

お見積に必要な診断対象の情報と、
ご希望のスケジュールをヒアリング

STEP

お申し込み

お申し込み

お見積書と、スケジュールの
ご確認をいただきお申し込み

STEP

診断の実施

診断の実施

診断シナリオ策定 → 脆弱性診断を実施 → 診断結果のレポートを作成診断シナリオ策定 ↓
脆弱性診断を実施 ↓
診断結果のレポートを作成 ↓

STEP

診断レポートのご提出

診断レポートのご提出

診断結果のレポートをご提出し、
必要に応じて報告会を開催

STEP

診断後のサポート

診断後のサポート

質問へのご回答対応他、
必要に応じて再診断

Diagnosis Suggestions

診断までの流れ

お客様の環境に最適な診断をご提案します。
大手ベンダーとの価格比較では、同等の品質でありながら、比較的安価でのご提供をしております。
また、報告書の質の高さには定評があります。まずは、お気軽にお問い合わせください!

ご相談・お問い合わせ
エンジニアリングサービス IoTソリューションサービス セキュリティ診断サービス 人材育成事業