top of page
マスクグループ 4.webp

Matrix Inspect

セキュリティエンジニアによるセキュリティ診断サービス

COCEPT

ハッカーの視点でセキュリティ検査を行い、
お客様の視点で対策を提案します。

ホワイトハッカーの専門知識を活用し、お客様のシステムをあらゆる角度から検査し、潜在的な脆弱性を発見します。

私たちは、ただ脆弱性を発見するだけでなく、お客様の視点に立ってお客様が具体的なアクションを取りやすいように解決策を提案します。
例えば、広く不特定多数のユーザーを受け入れなくてはいけないシステムやユーザーが限定され、重要な情報を取り扱うシステムとではリスク対応への考え方が異なります。また、OSやミドルウェアの環境により対策の実装方法が変わります。私たちはヒアリングや診断を通してお客様の環境を理解し、最適な解決策を心がけてサービスを提供します。

SERVICE

サービス概要

Matrix Inspectはインターネットから検査対象のシステムに対して、脆弱性診断とペネトレーションテストを行うサービスです。セキュリティ資格保持者や5年以上のペネトレーション経験を有したメンバーでチームを構成し、ホワイトハッカーの専門知識を活用したサービスです。また、AWS、Azure、Google Cloudなど主要クラウドサービスプロバイダ上の環境に特化したセキュリティサービスの開発から得た豊富な知見を活かし、これらの環境下で構築されたシステムへの脆弱性診断やペネトレーションテストを得意としています。

本サービスはセキュリティ検査の深さにより3つのプランでサービスを提供しています。

sss_matrix_inspect.png

本サービスは情報セキュリティサービス基準審査に登録されたサービスです。

ベーシック

スキャナーによる自動検査から出力されたレポートを精査し、報告するサービスで低コスト、短期間で診断を行いたい場合に適します。

ビジネス

本サービスの検査は日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿って行われます。個々の機能や動作を分析し、個別の機能に対して手動で検査を実施します。

アドバンス

ビジネスプランの検査に追加し、ペネトレーションテストを実施します。脆弱性検査を通して検出した結果からリスクの高い脆弱性や、複数の脆弱性を組み合わせて脅威を引き起こす脆弱性がないか検査します。

検査アプローチ

Matrix Inspectはセキュリティ検査の検査内容や対象に応じて選択できるサービスです。検査内容は脆弱性検査、手動検査、侵入検査から構成されています。

脆弱性検査

脆弱性検査スキャナや弊社で開発したツールを活用して検査を行います。ネットワーク検査用のスキャナとWeb検査用スキャナで検査を実施します。
ネットワーク検査用スキャナではインターネット上で公開されているIPアドレスやドメインに対してスキャンを実施し稼働サービスの特定や既知の脆弱性の特定、ファイアウォールバイパスの可否試験を行います。
Web検査用スキャナではWebコンテンツ・アプリ上の検査を行います。セキュリティ設定上の問題、インジェクション攻撃を引き起こす入出力検証に関連する脆弱性を中心に検査します。
スキャン実施後は検出された結果を精査し誤検出やリスクの判定を行います。

手動検査

手動検査は脆弱性検査スキャナでは検出が難しい、アプリケーションロジックの不備による脆弱性や認証・認可・セッション管理に関連する脆弱性を検出するため、セキュリティ診断士が検査対象の画面遷移、パラメータの送受信や技術上の特徴を理解し検査を実施します。

侵入検査

脆弱性スキャナ、手動検査の結果を総合的に捉えて、Webサイトやアプリケーションに対するセキュリティコントロールを回避し、セキュリティ脅威が発生するか検査をします。例えばクロスサイトスクリプティングの脆弱性があった場合、その脆弱性を利用してセッション情報を盗難し、盗難したセッションでユーザーになりすましてWebサイトやアプリケーションへアクセスし情報が参照できるか検査します。
ある脆弱性により情報漏洩や改竄などセキュリティ脅威を引き起こすか検査します。

検査項目

脆弱性診断ではアプリケーションの環境や機能の内容に応じて以下の検査項目を実施します。

プラットフォーム

オープンポート、オープンサービス、既知の脆弱性、SSL/TLSの設定

認証

ユーザー登録、認証回避、ロックアウト機能、パスワードの強度、パスワードヒストリーによる制御、

パスワードリセット機能、パスワード変更機能、暗号通信によるパスワード送信、ハードコードされたパスワード

​認可

ディレクトリートラバーザル、権限昇格、他ユーザー領域へのアクセス、不要なHTTPメソッドの許可

​セッション

Cookie属性 (Secure)、Cookie属性 (HttpOnly)、暗号化通信でのセッションの送受信、セッション機能の有効化、

セッションフィクゼーション、推測可能なセッションID、クロスサイトリクエストフォージェリー、

セッションタイムアウト機能、ログアウト機能

入力検査

リフレクト型クロスサイトスクリプティング (XSS)、ストア型クロスサイトスクリプティング (XSS)、

HTTP Verb タンパリング、SQLインジェクション、コマンドインジェクション、

ローカルファイルインクルージョン、リモートファイルインクルージョン、CRLFインジェクション、

CSS インジェクション、相対パスによる上書き、サーバーサイド・テンプレートインジェクション

クライアントサイド

クリックジャッキング、HTMLインジェクション

ファイルアップロード

ファイルコンテンツ・Content-Type・ファイル名・メタデータを細工したXSS、RCE (リモートコード実行)、DoS、

ZIPファイルによるファイル上書き攻撃、ZIPファイルによるシンボリンクファイルの上書き攻撃、XXE

情報漏洩

エラーハンドリング、クエリーストリング内の機密データ、バックアップファイルの存在、設定ファイルの参照、

キャッシュによる情報漏洩、個人情報のマスキング不備による漏洩、ディレクトリーリスティング

その他

オープンリダイレクト、デシリアライゼーション、SSRF(Server Side Request Forgery)、

クロスサイトWebSocketハイジャック

SERVICE PLAN

​ベーシックプラン

300,000円

  • ​脆弱性検査(スキャナ)

​​ビジネスプラン

600,000円 ~

  • ​脆弱性検査 (スキャナ)

  • 手動検査 (10箇所)

  • ​オプションサービス

​​アドバンスプラン

900,000円 ~

  • ​脆弱性検査(スキャナ)

  • 手動検査 (10箇所)

  • ペネトレーションテスト

  • ​オプションサービス

オプションサービス

再検査

セキュリティ検査で脆弱性が検出された場合、改修後に脆弱性が検出されないか再度検査いたします。再検査は報告書で記載した脆弱性発生箇所から再検査をご希望する箇所を選択いただき実施します。1箇所単位で料金が発生し、再検査の有効期限は報告書提出日から2ヶ月以内になります。

iOSアプリ

検査対象がiOSで提供している場合、モバイル端末内のアプリケーションのセキュリティに対して検査を行います。APIと連携部分においては基本料金で実施します。

Androidアプリ

検査対象がAndroidで提供している場合、モバイル端末内のアプリケーションのセキュリティに対して検査を行います。APIと連携部分においては基本料金で実施します。

追加手動検査

基本料金に含まれる手動検査数を超える場合、11箇所目から追加料金が発生します。

オンライン報告会

WebEx, Zoomなどで遠隔ミーティングを開催し、報告書の内容を解説をさせていただきます。報告書の内容について理解を深めたい、第三者から関係部署のメンバーへ報告したい場合にご利用ください

SERVICE DELIBERY

ご利用プロセス

FAQ

脆弱性が検出された時の対応方法は報告書に記載されますか?

報告書には脆弱性の詳細とその対応方法を記載させていただきます。対応方法はなるべくお客様のシステム環境にあった対策がとれるように記載させていただきます。記載した内容にご不明な点がある場合はメールや口頭で説明させていただきます。

報告会は実施していただけますか?

報告会はリモート対応で開催することは可能です。オプションサービスとなりますが、関係者の方を招集して会議形式で説明が必要な場合はご利用ください。

当サービスの強みや他社との差別化はありますか?

弊社はパブリッククラウド基盤上でWebセキュリティに特化したクラウドサービスを開発しており、AWSやAzure、Google Cloud上のWebサービスの検査を得意としております。

検査項目は網羅するため基準などに沿って実施しておりますか?

日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿った検査メニューでサービスを提供しております。

脆弱性診断で利用しているツールは何を利用していますか?

Webアプリケーションレイヤーの検査においてはBurpSuiteを利用しております。プラットフォーム検査では OpenVAS、nmap、nuecli、自社開発のスキャナーを利用しております。

bottom of page