採用情報

お問い合わせ

AI ツールと診断員のハイブリッドによる「高精度」「短期間」「低コスト」の脆弱性診断を実現

AI スキャン診断サービス

AI ツールと診断員のハイブリッドによる
「高精度」「短期間」「低コスト」の診断を実現

AI スキャン診断サービスは、AI(人工知能)+ RPA(プロセス自動化) を活用した高精度な専用ツールを用いた Web サイトへの脆弱性スキャンを実施するサービスです。
スキャンを通じ Web アプリケーションやシステムに内在する脆弱性を明らかにし、適切な対策方法をご提示します。

サイバートラストが提供している「脆弱性診断サービス」は、専門の診断員が手動でシステムを診断する高水準なサービスですが、診断員が手動で診断を行うため、診断規模に応じて時間や工数がかかります。

一方、従来までの脆弱性スキャン製品では、フォームへの入力を自動で行えない、認証ページを超えられない、などの基本的な部分の制限により、十分な診断が行えないという課題もありました。

本サービス「AI スキャン診断サービス」は、熟練の診断員が診断対象を見極め、クローリング(診断のための巡回)ロジックを設定した上で、AI ツールが高速かつ高精度で診断を行う、ハイブリッドタイプの新診断メニューです。

AI スキャン診断サービスの特長

AI スキャン診断サービス 特長01 ツールと診断員のハイブリッドによる高精度スキャン

ツールと診断員のハイブリッドによる高精度スキャン

専用ツールでサイトの分析を行った上で、専門の診断員が対象選定を行います。
ツールだけでは実現できない高精度なクロールを実現します。

AI + RPA による超高速自動化処理

AI + RPA による超高速自動化処理

検出精度を維持しながら、多くの自動化により短納期とコスト低減を実現しました。

数日で診断結果をお届け

数日で診断結果をお届け

小規模(~50 リクエスト)の診断であれば、3 日程度で診断が完了致します。診断結果は PDF 形式のレポートにまとめられメールでお届けいたします。

各種ガイドラインに準拠

AI スキャン診断サービスは、国際的・標準的なガイドライン・チェックリストに基づき診断を行います。

OWASP(Open Web Application Security Project)

OWASP(Open Web Application Security Project)は、Web アプリケーションセキュリティに特化した非営利組織です。セキュアなソフトウェア開発を促進する情報共有を行いセキュリティリスクを抑えるガイダンスを提供しています。

IPA 安全なウェブサイトの作り方

経済産業省の IT 政策実施機関である独立行政法人情報処理推進機構(IPA)は、脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するためのガイドラインおよびチェックリストを開示しています。

AI スキャン診断サービス 診断内容

Web アプリケーション診断

  • OWASP TOP10
    インジェクション、認証の不備、機微な情報の露出、XML 外部エンティティ参照、アクセス制御の不備、不適切なセキュリティ設定、クロスサイトスクリプティング、安全でないデシリアライゼーション、既知の脆弱性のあるコンポーネントの使用
  • IPA 安全なウェブサイトの作り方
    SQL インジェクション、OS コマンド・インジェクション、パス名パラメータの未チェック/ディレクトリ・トラバーサル、セッション管理の不備、クロスサイト・スクリプティング、CSRF(クロスサイト・リクエスト・フォージェリ)、HTTP ヘッダ・インジェクション、メールヘッダ・インジェクション、クリックジャッキング、バッファオーバーフロー
  • OWASP ASVS 4.0
    別途ダウンロード資料をご参照ください.

ネットワーク診断

  • ポートスキャン
    TCP(0~65535)/ UDP(主要ポート) のポートの状況調査
  • バナー調査
    使用ソフトウェアの検出、バージョン情報の収集
  • 稼働サービスの設定調査
    稼働サービスの設定不備の調査 例)Telnet,FTP,SMTP等
  • アカウント調査
    デフォルトアカウント調査、認証なしで利用できるサービスの調査
本サービスでは Web アプリケーションに対する診断に加え、上記のネットワーク診断も標準でご提供させて頂きます。
本格的なネットワーク診断をご希望される場合は、当社 脆弱性診断サービス プラットフォーム診断をご検討ください。

診断内容詳細資料ダウンロード

AI スキャン対談:人工知能が拓く、新しい脆弱性診断の形

AI スキャン診断サービス 特別対談

人工知能が拓く、新しい脆弱性診断の形

エーアイセキュリティラボ 執行役員 関根鉄平様と、サイバートラストの脆弱性診断サービスを担当するセキュリティマネジメント部部長 宮坂裕大に、AI スキャン診断サービスについてお話を伺いました。

対談記事を読む

他社スキャン製品との比較

項目他社製品AIスキャン診断サービス
診断項目 OWASP TOP10 など代表的な診断項目 DomBasedXSS、メールサーバを利用したメールヘッダーインジェクションにも対応
アクセス制御の診断 アクセス制御の不備など、なりすましの問題の診断が可能
認証機能の診断 アカウントロック機能の有無など認証に特化した診断が可能
CMS の診断 プラグインを含む CMS の問題の診断が可能
リンク切れ(404)・混合コンテンツ検出 正常系の動作確認が可能
レポート機能 リスク評価方法 CVSS の詳細なスコアを表示
OWASP、IPA への準拠性 OWASP、IPA など主要なガイドラインに準拠
経営層向けレポート 診断結果を画面毎に反映した画面遷移図
開発者・サイト運営者向けレポート 画面キャプチャを用いた画面遷移図・ディレクトリマップ提供
言語 日本語・英語に対応

脆弱性診断サービスとの比較

サイバートラストでは専門の診断員がマニュアル(手動)で診断を行う、「脆弱性診断サービス」も提供しております。「脆弱性診断サービス」と「AI スキャン診断サービス」のどちらを選ぶのがおすすめか、お客様のご要望ケースでまとめました。

比較項目AI スキャン診断サービスWeb アプリケーション診断
診断の深さ ツールで検出可能な診断項目のみ 権限昇格やパラメータ改ざんをはじめとしたツールでは実施できない手動診断でのみ検出が可能な診断項目など、複雑なサイトに対する診断が可能
対象の規模 小規模~大規模サイトなど規模を問わず迅速に対応が可能 中規模以上は比例して診断日数を要する
診断期間 最短 3 営業日 最短 7 営業日
コスト 大規模であっても低価格 ボリュームに応じたコスト感
診断レポート 視覚的で分かりやすい報告 経営者向けと技術者向けの2種類を提供、技術者向けでは詳細な再現例など具体的な事象を報告
再診断 ※1 なし オプションサービスあり
報告会 ※2 なし オプションサービスあり
おすすめ利用ケース
  • はじめて脆弱性診断を実施したい
  • スピーディーに調査したい
  • 英語でのレポートが欲しい
  • 大規模サイトで他社で高額なお見積もりになってしまった
  • 深い粒度で調査したい
  • 複雑な Web サイトを調査したい
  • ペネトレーションテストなど他のサービスを組み合わせて実施したい
  • 手厚いアフターフォローがあるサービスを選択したい
※ 1
診断実施後、診断レポートで指摘させていただいた脆弱性に対し、お客様が修正した後再度その箇所の診断を実施し、根本的な改修が行われているかどうかを確認するオプションサービスです。
※ 2
診断エンジニアによるご説明を行うオプションサービスです。

AI スキャン診断サービス 数量と診断日数

プラン 50

対象リクエスト数

50 リクエストまで

(コミット処理 :2 ~ 3 リクエスト)

想定対象

小規模サイト、
キャンペーンサイトなど

診断日数(最短)

3 日間

中規模プラン

対象リクエスト数

300 リクエスト程度

想定対象

中規模システム
ECサイトなど

診断日数(最短)

5 日間

大規模プラン

対象リクエスト数

1000 リクエスト程度

想定対象

大規模システム
複数システムなど

診断日数(最短)

15 日間

※コミット処理:メール送信やデータの登録・削除などの完了処理を指します。一般的な脆弱性スキャン製品において、コミット処理は入力値の妥当性などをツール側が自動で判別できず診断することが困難なケースが散見されます。本サービスでは高精度なツールの使用により、この課題を解決するとともに、診断員による精査を行うことで課題をクリアにします。

診断の流れ

STEP.1

対象選定

AI スキャン診断サービス ステップ1 対象選定

専用ツールでサイトの分析を行った上で、エンジニアが対象選定を行います。

STEP.2

スキャン

AI スキャン診断サービス ステップ2 スキャン

診断対象リストとお見積もり内容、スケジュール等について合意頂けましたら、脆弱性スキャンを実施いたします ※1

STEP.3

レポート

AI スキャン診断サービス ステップ3 レポート

スキャンが完了し次第、レポートを作成しメールにて送付させて頂きます。※2

※1
データ登録/削除の機能などが診断対象に含まれる場合、スキャンにより影響が生じる可能性がございます。 そのため、診断対象はテスト環境などをご指定頂き、データバックアップなどもご準備頂くようお願い致します。
※2
診断結果についてのお問い合わせはメールまたはお電話にて承ります。

診断レポート

AI スキャン診断サービス 診断レポート サンプル
スキャンサマリー

検出された内容をグラフ化し、Webサイト全体のリスク値を可視化します。経営層など、要点をまとめた説明が必要な場合にご活用ください。

ガイドライン対応状況

OWASP TOP 10、IPA 安全なウェブサイトの作り方、OWASP ASVS 4.0 レベル 1 における検出状況を一覧化いたします。

詳細ご説明

検出された脆弱性の問題点を把握して頂くと共に、対策方法をご提示致します。脆弱性の改修時にご活用ください。

スキャンレポートのサンプル PDF をダウンロードいただけます

メールアドレスをご登録いただく事で、スキャンレポートのサンプル PDF をダウンロードいただけます。下のフォームにメールアドレスをご記入の上送信ください。

メールアドレス 必須

※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。

お問い合わせ

AI スキャン診断サービスについてご質問やご相談、お見積もり依頼、お申し込み依頼などは、下記のお問い合わせフォームよりお寄せください。

お問い合わせフォーム

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime