IT業界をかっこよく面白く

Ecloとは？
記事一覧
- ビジネス記事一覧
  
  ビジネスについてゆるく、時に真面目に書いています。
- IT記事一覧
  
  ITについての情報を備忘も兼ねて書いています。
- SHELF記事一覧
  
  ARTICLES:SHELF ビジネスの記事一覧
サービス
- ECLO DEVELOPMENT
  
  高速かつ安定のWEBサイト構築です。
- ECLO INSPECTOR
  
  様々な観点からWEBサイトの品質をテストする検査サービス
- ECLO STARTER
  
  新規開業者向けのスターターパックです。
- ECLO WEB MANAGE
  
  WEBサイトの保守運用&SEO戦略コンサルサービス
- IQA IT SCHOOL
  
  IT業界未経験の転職希望者を徹底的にサポートします
- WORDPRESS DOCTOR
  
  Wordpressの緊急事態を即解決します。

お問い合わせ

WEBセキュリティ診断

WEBサイトの安全性を、専門家が診断するサービスです。
IPA / OWASPに準拠したWEBセキュリティ診断をご提供します。

サービス概要

本サービスでは、WEBサイトにおけるセキュリティを診断し、改善の優先度を付けたレポートをご提供します。

● WEBセキュリティ診断：IPA / OWASPの基準に基づき、脆弱性や不備を診断

● レポート：改善優先度つきの診断レポートと、具体的な修正方針をご提示

WEBセキュリティ診断メニュー

WEBセキュリティ診断とは、サイトに潜む脆弱性を専門家が総合的に点検し、情報漏えいや不正アクセスのリスクを未然に防ぐための検査です。近年は攻撃手法が高度化しており、気づかぬうちに被害が拡大するケースも少なくありません。定期的な診断で、安心で堅牢なサイト運営が可能になります。

IPA準拠のセキュリティ診断（IPAガイドライン対応）

基本的な脆弱性や不備を体系的に診断し、日本の標準的セキュリティ要件を満たしているかを確認します。公的ガイドラインを基盤にしているため、漏れの少ない安定した診断が可能です。

OWASPベース総合診断（OWASP Top 10 準拠）

世界標準の脆弱性分類をベースに実施する高度な診断です。攻撃者視点で実際に攻撃が成立するかを踏み込んで確認することでより深いセキュリティ水準を評価できます。

IPAベース簡易診断

IPA（情報処理推進機構）が公開しているガイドラインに準拠した、基本的なセキュリティ診断です。

主な内容

● 基本的な設定・構成の確認
● よくある脆弱性の有無の確認
● 想定されるリスクと簡易改善提案

IPA拡張診断

IPAベース診断に加え、自社オリジナル監査項目としてフォームや管理画面を含む、より踏み込んだ診断です。

主な内容

● フォームや認証等の診断
● 管理画面・プラグイン構成の確認
● 想定攻撃に基づくリスク整理
● 改善優先度つきの詳細レポート

OWASPベース総合診断

国際的なセキュリティ基準であるOWASP Top 10に準拠した、本格的で網羅性の高い脆弱性診断です。

主な内容

● OWASP Top 10準拠の脆弱性診断
● 認証・セッション管理・入力検証
● 管理画面・APIなどの総合テスト
● 詳細レポート＋改善ロードマップ

WEBセキュリティ診断費用

プラン名	基準	料金目安
IPAベース簡易診断	セキュリティ国内基準の最低限ライン	6万円〜
IPA拡張診断	セキュリティ国内基準の標準ライン	20万円〜
OWASPベース総合診断	セキュリティ国際基準の標準ライン	40万円〜

診断の流れ

よくあるご質問

WEBセキュリティ診断サービスについて、よくいただくご質問をまとめました。掲載している内容以外にも、個別のご相談や、検討段階でのお問い合わせも歓迎です。
気になる点がありましたらお気軽にお声がけください。

セキュリティ診断について

[snow-monkey-blocks-accordion-item-control checked=”false”]

セキュリティ診断は具体的に何を診断してくれますか？

代表的なものとして、以下のようなポイントを確認します。

・不正アクセスにつながる脆弱性（XSS、SQLインジェクションなど）
・認証・認可まわり（ログイン・権限の抜け漏れ）
・セッション管理（Cookie設定、強制ログアウトなど）
・管理画面やAPIの保護状況
・セキュリティヘッダー（CSP、HSTS、X-Frame-Options など）の有無
・サーバ・ミドルウェアの設定の甘さ
など

別途資料をご用意してありますのでご確認ください。

[snow-monkey-blocks-accordion-item-control checked=”false”]

診断中、サイトを止める必要はありますか？

基本的には通常どおり公開したまま診断可能です。
ただし、一部の検査はテスト環境での実施をお願いする場合があります。事前にヒアリングを行い、無理のない範囲で診断計画を立てます。

[snow-monkey-blocks-accordion-item-control checked=”false”]

どんな準備をしておけばいいですか？

最低限、下記をご用意いただければスタートできます。

・診断対象ページのURL一覧
・管理画面URLとテスト用アカウント（必要な場合）
・使用しているCMSやフレームワーク・主要プラグインの情報
・システム構成の概要（クラウド / サーバ、外部サービスとの連携など）

わからない部分はヒアリングしながら整理しますので「とりあえずURLだけ」という状態でご相談いただいて大丈夫です。

[snow-monkey-blocks-accordion-item-control checked=”false”]

診断結果はどのような形で報告してもらえますか？

以下の形でご提出します。

診断レポート（PDF）
・サマリー(非技術者向けに、経営・企画の視点で要点を整理したまとめ)
・発見された問題点の一覧 / 重要度（高・中・低)

ご希望があれば、オンラインでの説明会や質疑応答も行います。

[snow-monkey-blocks-accordion-item-control checked=”false”]

対応後に、もう一度診断してもらうことはできますか？

はい、セキュリティ診断の再診断は可能です。再診断の費用は、

・初回診断で指摘されたうち、どの項目の修正結果を確認するか
・サイト全体を再診断するのか／重要度の高い項目に絞るのか
・対象ページ数や機能のボリューム

といった条件によって変わりますのでご希望に合わせてお見積もりいたします。お気軽に、ご希望やご状況をご相談ください。