本文へジャンプします。

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い(2024年4月1日)

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
当サイトのアドレス(ドメイン名)に含まれる「nifcloud.com」は現時点では変更はございませんが、
各ページに記載の「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラ ユーザーガイド

クラウド トップ>ニフクラ 脆弱性診断サービス>技術仕様/制限値>脆弱性診断サービス Powered by GMOイエラエ全般

脆弱性診断サービス Powered by GMOイエラエ全般

仕様

Webアプリケーション診断について

Webアプリケーション診断に必要なクローリングは、お申し込みを前提に無料で実施させていただきます。

ただしクローリング実施後にお申し込みを辞退される場合、 GMOサイバーセキュリティ byイエラエ株式会社からの請求に基づき、一律55,000円(税込)を請求させて頂くことがございます。あらかじめご了承をお願いします。

クローリングとは

お客様のWebアプリケーションにアクセスし、診断対象となる動的リクエスト数のカウント、画面遷移方法の把握、検査手法の検討等を行うための網羅的な探査行為です。
実施後、カウントしたリクエストの一覧をご報告します。

Webアプリケーション診断項目
入出力処理 クロスサイトスクリプティング
SQLインジェクション
コマンドインジェクション
ディレクトリトラバーサル
ファイルアップロード
HTTPヘッダインジェクション
フィッシング詐欺サイトへの誘導
パラメーター改ざん
メールの第三者中継
認証 ログインフォームに関する調査
ログインエラーメッセージの調査
ログイン・個人情報の送受信に関する調査
アカウントロック機能
ログアウト機能
認証の回避
認可 権限昇格
権限のない情報へのアクセス
セッション管理 Cookieのsecure属性
Cookieの有効期限
セッション固定
セッションの強制指定
クロスサイトリクエストフォージェリ
Webサーバー設定 許可されているHTTPメソッド
サーバーエラーメッセージ
システム情報の開示
Web 2.0 Flashコンテンツの脆弱性
Ajaxコンテンツの脆弱性
一般的な脆弱性 既知のソフトウェア脆弱性
強制ブラウジング
ディレクトリリスティング
スマホアプリ診断について

以下の2種類のプランがあります。

  • ライトプラン(動的解析)
    アプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。
  • フルプラン(動的解析+静的解析)
    ライトプランの内容に加え、リバースエンジニアリングしたソースコードから脆弱性を調査します。
    必要に応じて実証コードを書き、想定した攻撃シナリオが成功するかを検証します。
スマホアプリ診断項目
  ライトプラン フルプラン
通信 意図しない通信
平文による秘密情報の送受信
SSL/TLS証明書検証の不備
データ・ログ 平文による内部ストレージへの秘密情報保存
データ改ざんによる不正行為
ファイルパーミッションの設定不備
※Androidアプリのみ対象
外部ストレージ(SDカード)への秘密情報保存
※Androidアプリのみ対象
デバッグログへの秘密情報出力
設計・実装 コンテントプロバイダのアクセス制御不備
※Androidアプリのみ対象
-
公開Activity等からの重要情報の漏えい等
※Androidアプリのみ対象
-
WebView関連の脆弱性 -
耐タンパー性の不足 -
アプリへの秘密情報埋め込み -

※iOSアプリは、OS仕様により診断行為に対する制限が多く、診断の精度が下がる場合があります。
 ソースコードをご提供頂いた場合は診断期間を短縮できる可能性があります。

ネットワーク診断について

対象ホストで稼働するネットワークサービスの脆弱性を列挙することで、現状のセキュリティレベルを把握します。

ネットワーク診断項目
  ネットワーク診断
ホストのスキャン ポートスキャン
実行中のサービスの検出
ネットワークサービスの脆弱性 DNSに関する調査
メールサーバーに関する調査
FTPに関する調査
Windowsネットワークサービスに関する調査
SNMPに関する調査
SSHサーバーに関する調査
データベースサーバーに関する調査
Webサーバーの脆弱性 Webサーバーの脆弱性
各種OSの脆弱性 Windowsの既知の脆弱性
その他各種OSの既知の脆弱性
悪意あるソフトウェア バックドアの調査
P2Pソフトウェアの調査
ネットワーク機器の脆弱性 各種ネットワーク機器の既知の脆弱性
認証サービスへの攻撃 認証サービスの検出
辞書攻撃/Joeアカウント検出
脆弱性診断を行った際のデータの扱い
  • 脆弱性診断のために入手したお客様のデータは、診断終了から30日間経過後に消去します。
制限事項
  • 診断対象は、ニフクラ上で稼働しているお客様のアプリケーションおよびシステム等に限ります。
  • 診断対象は、インターネットに公開しているシステムが対象となります。
  • ニフクラ 禁止事項 に抵触する作業内容は実施できません。ご利用の際は、あらかじめ内容をご確認ください。
  • 診断に関するご連絡は、GMOサイバーセキュリティ byイエラエ株式会社より、お申し込み時にご指定いただいたご連絡先へ行います。
  • お申し込みから最短約1週間で着手可能です。診断内容、お客様環境によっては、診断期間が10~20営業日程度かかる可能性があります。
Webアプリケーション診断・スマホアプリ診断について
  • 24時間常に試験が可能なステージング環境をご準備いただく前提での実施となります。
  • 診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
  • 診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
ネットワーク診断について
  • 24時間常に試験が可能な環境(本番環境推奨)をご準備いただく前提での実施となります。
  • 診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
  • 診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
診断結果に関するご質問/再試験について
  • 脆弱性診断結果報告書の提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。

メンテナンス・トラブル情報について

注意事項

本サービスは、ニフクラ内での利用に限定されます。

お問い合わせについて

障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。

  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2024年7月18日時点の情報です。

推奨画面サイズ 1024×768 以上