実績ある専門知識でWebアプリケーションを保護
オンラインプレゼンスの基盤を守る
Elves Core Cyber Security(旧Elves Core)は、インターネットブラウザを介して動作するWebアプリケーションのペネトレーションテストを実施しています。
当社はWebアプリケーションのペネトレーションテスト分野においてリーディングカンパニーとして活動し、さまざまなプログラミング言語や環境における脆弱性を継続的に特定しています。AWSの大規模環境からレガシーアプリケーションまで、幅広いシステムのデータ保護に貢献しています。また、数多くのゼロデイ脆弱性を発見し、公表してきた実績があり、当社の研究はニュース記事にも取り上げられ、トップレベルのセキュリティテスターであることを証明しています。
従来の脆弱性診断やペネトレーションテストは、500万〜1000万円のコストがかかるため、実施が難しいことが多いです。
当社のサービスは、脆弱性診断とレポート作成に特化することでコストを削減しています。事前の打ち合わせや報告書作成にかかる時間を最小限に抑えることで、費用を抑えつつ高品質な診断を実現しています。
コストを抑えても、診断の質が低下することはありません。必要不可欠なテスト項目に集中することで、当社のサービスは中小企業から大手企業まで幅広く導入され、高い評価を受けています。
コスト削減に加え、スピーディーなテスト実施が可能なため、迅速なセキュリティ評価を実現します。
なぜ当社のペネトレーションテストを選ぶべきなのか?
的確なレポートと低コスト
報告プロセスを効率化することで、不要な事前打ち合わせや過剰な報告書作成を排除し、大幅なコスト削減を実現しています。
グローバルなホワイトハットの専門知識
当社の高度なスキルを持つエンジニアは世界中で活躍し、最新のサイバーセキュリティ技術と手法を活用して、常に最新のセキュリティを維持します。
最短5日でテスト開始
お申し込みと注文確定後、最短5日でペネトレーションテストを開始可能。複雑な手続きなしで、迅速かつ効率的なセキュリティ診断を提供します。
包括的なWebペネトレーションテスト手法
テスト範囲の定義
Webアプリケーションの評価を開始する前に、クライアントと緊密に連携し、テストの範囲を明確に定義します。この段階では、相互理解を深め、評価のための確固たる基盤を確立するための徹底的なコミュニケーションを重視します。
- テスト開始前に、クライアントとテスト範囲を明確に定義する。
- 評価対象から除外するページやサブドメインを指定する。
- テスト期間や時間枠を確認する。
情報収集
当社のエンジニアは、OSINT(オープンソースインテリジェンス)やOWASP Top 10の手法を活用し、対象システムに関する可能な限り多くの情報を収集します。収集したデータは、クライアントの運用環境の理解を深め、より正確なリスク評価に貢献します。主な情報源には以下が含まれます。
- Google検索結果から漏洩したPDF、DOCX、XLSXファイル。
- 過去のデータ漏洩や流出した認証情報。
- アプリケーション開発者が投稿したフォーラムの書き込み。
- 公開されているrobots.txtファイル。
列挙(Enumeration)
この段階では、自動スクリプトやツールを組み合わせて、より高度な情報を収集します。当社のエンジニアは、潜在的な攻撃ベクターを入念に調査し、次のテストフェーズで活用できる重要なデータを収集します。
- ディレクトリやサブドメインの列挙。
- クラウドサービスの設定ミスの特定。
- 既知の脆弱性とアプリケーションおよび関連サービスとの関連付け。
攻撃・侵入(エクスプロイト)
脆弱性検証の段階では、特定された攻撃経路を利用して実際の攻撃を試みます。ただし、Webアプリケーションやデータへの影響を最小限に抑えるため、細心の注意を払ってテストを実施します。この段階で使用する主な攻撃手法には以下が含まれます。
- SQLインジェクション、クロスサイトスクリプティング(XSS)などの脆弱性攻撃。
- 流出した認証情報やブルートフォースツールを使用した認証バイパスの試行。
- Webアプリケーションの挙動を監視し、安全でないプロトコルや機能を検出。
レポート作成
レポート作成は評価プロセスの最終段階です。当社のアナリストは、収集したすべてのデータを包括的なレポートにまとめ、調査結果を詳細に記載します。
レポートは、全体的なリスクの概要から始まり、アプリケーションのセキュリティやロジックの強みと弱点を明確に示します。さらに、経営陣がアプリケーションのセキュリティに関する適切な意思決定を行えるよう、戦略的な推奨事項を記載しています。
各脆弱性に対して、テストプロセスやITチーム向けの修正手順を含む詳細な技術分析を提供し、迅速な対策が可能となるよう支援します。ElvesCoreは、すべてのレポートを明確で理解しやすい形で提供します。
修正後の再テスト
クライアントの要望に応じて、脆弱性が修正された後の再評価(ポストパッチテスト)を実施します。このプロセスでは、修正が正しく適用され、特定されたリスクが排除されたことを検証します。さらに、過去の評価レポートを更新し、アプリケーションのセキュリティが向上したことを反映します。
OWASP Top 10に準拠したWebアプリケーションのセキュリティ強化
当社はWebアプリケーションのセキュリティを最優先事項とし、OWASP Top 10のガイドラインに準拠しています。OWASP(Open Web Application Security Project)Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクを特定し、軽減するための世界的な標準です。当社の専門チームが一般的な脆弱性からアプリケーションを保護し、堅牢で安全なシステムを維持します。
インジェクション攻撃
SQL、NoSQL、OS、LDAPインジェクション攻撃などの脆弱性からデータを保護します。
セキュリティ設定ミス
セキュリティ設定を見直し、設定ミスによるリスクを排除します。
脆弱な認証メカニズム
強力な認証メカニズムを確立し、ユーザーのIDと認証情報を保護します。
クロスサイトスクリプティング(XSS)
悪意のあるスクリプトによるセッションハイジャックやWebサイトの改ざんを防ぎます。
機密データの漏えい防止
暗号化と安全なデータ保管方法を実装し、機密情報を保護します。
安全でないデシリアライゼーション
攻撃者によって悪用される可能性のあるデシリアライゼーションの脆弱性を軽減します。
XML外部エンティティ(XXE)脆弱性
悪意のあるXML入力によるセキュリティリスクを軽減します。
既知の脆弱性を持つコンポーネントの使用
サードパーティコンポーネントを定期的に更新し、セキュリティを維持します。
不適切なアクセス制御
適切なアクセス制御を実装し、不正なアクセスを防ぎます。
不十分なロギングと監視
包括的なロギングと監視を確立し、セキュリティインシデントを迅速に検出・対応します。
ペネトレーションテスト
当社の高度なスキルを持つホワイトハッカーのチームが、お客様のアプリケーション、サーバー、ネットワークを詳細かつ徹底的に評価します。脆弱性や潜在的なデータ漏えいを特定し、セキュリティ問題の根本原因を分析し、具体的な改善策を記載した包括的なレポートを提供します。
こんな方におすすめ
脆弱性の根本原因を特定したい
具体的な修正方法について詳しく知りたい
セキュリティ診断を実施したが、結果に満足していない
¥600,000 から
14日以上
目的 : 個人データの漏えいや脆弱性の有無を診断。問題が発見された場合、徹底的な根本原因分析を実施します。
調査環境 : 本番環境での診断が可能
テスト手法 : 本番環境での診断が可能
結果 : 診断レポートを提出
※上記価格は基本料金です。ページ数やサーバー要件により変動する場合があります。詳細なお見積もりについては、お気軽にお問い合わせください。
診断内容
| 診断範囲 | WEBアプリケーション、モバイルアプリ(iOS/Android)、システムソフトウェア、ネットワーク |
|---|---|
| 診断ツール | Burp Suite、Acunetix、Nmap、Netsparker、Zed Attack Proxy、Metasploit、Kali Linux、w3af |
| 診断項目 | 認証セキュリティ診断、オブジェクトレベルの認証破壊診断、認証破壊診断、オブジェクトプロパティレベルの認証破壊診断、制限のないリソース消費診断、スコープの弱い認証破壊診断、クロスビジネスフローにおける制限のないアクセス診断、サーバーサイドリクエストフォージェリ(SSRF)診断、セキュリティ設定ミス診断、適切なセッション管理診断、安全でないAPI使用診断、高度なペネトレーション診断、シナリオベースの診断、包括的なレポート作成 |
| 診断詳細 | 認証セキュリティテスト、オブジェクトレベルの認可バイパス、認証バイパス、リソース使用制限のない攻撃、攻撃シナリオの作成、APT(Advanced Persistent Threat)シミュレーション、CI/CDセキュリティチェック、レッドチーム参加、包括的なレポート作成 |
ご質問やお問い合わせがございましたら、お気軽にご連絡ください。
ホワイトハッカーによるペネトレーションテストでサービスを保護しましょう。