Webアプリ・クラウドの脆弱性診断

オールインワンの
外部セキュリティ診断を
もっと手軽に。

10万円〜 の外部セキュリティ診断

420項目
Webアプリ
標準の診断項目
最短3営業日
申し込みから
報告まで
ISMS・ISO/IEC 27001 認証取得済みISMS(ISO/IEC 27001)
認証取得済み
脆弱性診断レポートの例。重大度の高い指摘を赤で表示する。
AI時代のリスク

AIで作ったアプリ、本当に安全ですか?

AIでアプリが作れる時代、脅威も多様化する世の中で、安全な顧客への提供をsupascanが保証します。

診断事例

リリース前に、セキュリティエンジニアが第三者診断

セキュリティ専門家による脆弱性の発見事例

ユーザーのアカウント情報に不正にアクセスできてしまう、認可制御の不備のイメージSaaS・従業員80名
認可制御の不備

URLのIDを書き換えると、
他社の案件が開けてしまった

案件管理のSaaS。ログインは自分のアカウントのまま、リクエストに入っているIDを別の値に書き換えると、契約していない他社の案件一覧がそのまま返ってきた。画面のどこにも出ない経路で、権限のチェックが丸ごと抜けていた。開発チームも気づいていなかった。

古い依存ライブラリに既知の脆弱性が残っているイメージ受託開発・納品前の検収
古い依存の既知脆弱性

3年前のライブラリに、
コードが動く欠陥が残っていた

使い回していた画像処理のライブラリが、古いままでした。そのバージョンには、細工した画像を送るとサーバー側で任意のコードが動く既知の欠陥があります。動いているから、で誰も上げていませんでした。

クラウドストレージが公開設定のまま放置され、データが外に漏れているイメージ金融系・四半期の継続診断
クラウドの公開設定ミス

本番バックアップが、
URLさえ知れば誰でも読めた

本番データのバックアップを置いたストレージが、いつの間にか公開設定に戻っていました。作った担当は異動していて、誰も把握していません。年1回の診断だけだと、この間はずっと開いたままです。

診断結果

事業フェーズに合わせて、対応優先度を提案

検出した指摘は重大度で仕分けし、いまの事業フェーズに合わせて、どれから直すべきかを提案します。リリース直前なら公開を止める級を先に、運用フェーズなら継続監視でよいものと分けます。再現手順と直し方までつけてお返しするので、全部を平らに並べられて、どこから手をつけるか迷う、ということがありません。

重大度 高(すぐ対応) 低・修正済

まず一度、いまの状態を診断する。

診断観点

リスクフォーカス型診断で、低コストを実現

OWASP Top 10 や ASVS をもとにした標準的な観点で、ブラックボックス形式で脆弱性を洗い出します。大きく分けると、次のような観点でレビューします。

  • ロジックの不備
  • 認可制御の不備
  • インジェクション全般
  • SSRF
  • クロスサイトスクリプティング(XSS)
  • オープンリダイレクト
  • ファイル操作の不備
  • セッション管理の不備
  • CORS設定の不備
  • CSRF
料金プラン

明瞭な料金プラン

スポット診断

まず一度、いまの状態を確かめたい方へ。

  • 対象を1つ選んで単発で診断
  • AIによる初動+専門家レビュー
  • 修正後の再診断つき
  • 報告書(そのまま提出可)
10万円(税抜)・対象1つの単発診断
おすすめ
プロフェッショナル診断

広い範囲を、継続的に診たい開発チームへ。

  • 複数対象・API・クラウドまで
  • 継続診断/開発フローへの組み込み
  • 重大な指摘は先に共有
  • 監査・取引先向けの証跡整備
50万円〜(税抜)・範囲と頻度に応じて
サポート

専属のサポートが伴走します

指摘の直し方が分からないときは、開発チームと一緒に修正方針を考えます。診断の範囲をどう決めるか、どこまで継続で回すか。そのあたりの設計から相談に乗ります。監査や取引先への説明が要る場面も、まかせてください。

サポート内容を相談する
運営会社

会社概要

社名supateam株式会社(スパチーム株式会社)
事業AI時代のセキュリティ事業(利用統制・教育・診断)/開発生産性事業 supateam
所在地東京都渋谷区恵比寿西1丁目10番11号フジワラビルディング2階
まずは資料から

診断を、出荷前の当たり前に。

診断メニューと料金の考え方、サンプルレポートをまとめてお送りします。