API脆弱性診断サービス
APIのセキュリティにおける
よくあるお悩み
-
01API開発を外注しており、セキュリティ対策が十分な状態か自分たちでは判断がつかない
-
02リリース前のシステムテストにてAPIの設定に不具合がある可能性が見つかった
-
03必要性は感じているものの何から始めていいかわからない
そんなお悩みをranruyuが
解決いたします!
“アカウント乗っ取り攻撃” や
“APIの仕様や設定不備による不正操作の脆弱性”
“トークンによるアクセス制御” など…
APIで用いられる
要素技術やフレームワークを熟知し
国際認定ハッカー資格をもつ技術者が、
セキュリティ上の問題点を可視化します
サービス概要
稼働中のWebサービスを停止せずに、診断を行います。診断はインターネット経由で外部から実施します。
ranryuが選ばれる理由
-
原則”手作業”で、安全かつ精度の高い診断を提供 -
自動ツールを利用した診断では、診断すべき項目が網羅できない可能性があり、診断できない項目や誤検知が生じるリスクがあります。
ranryuでは原則手作業で診断を実施しており、SaaS型の診断ツールではできないことも手動診断により、精度の高い診断を実施することが可能です。 -
豊富な経験と専門資格保有者による丁寧な対応 -
国際認定ホワイトハッカーやセキュリティ分野最上位国家資格等セキュリティに関する資格をはじめ、開発経験や知識豊富なエンジニアが攻撃者視点で対応します。
API脆弱性診断サービス ワークフロー
お問合せをいただいてから診断を実施し、報告を行うまでの最も基本的な流れをご紹介します。
STEP01
診断前事前準備
API、サイト情報等を記載する見積依頼書をご記入いただき、ご提供いただいた情報をもとにお見積りいたします。サービス実施前には、診断日時やご担当者様情報のご準備をいただきます。
STEP02
診断実施
診断開始/終了をご担当者様に連絡した上で、対象APIに対して手動及びツールで診断を実施します。
※重大な問題発見時は緊急報告します。
STEP03
分析・報告書作成
診断結果をもとに脆弱性を洗い出し、セキュリティリスクを分析し、結果を報告書にまとめます。
STEP04
フィードバック
APIの脆弱性について、検出された問題や評価について診断結果報告として提出します。
STEP05
アフターフォロー
診断結果報告書納品から1ヶ月間、必要に応じてご質問等、受付可能です。
必要に応じて、必要箇所の再診断を実施することも可能です。
適合している外部基準
国際標準となるセキュリティ基準など、下記外部基準を満たす診断項目を用意し、高品質の診断サービスを提供します。
プランとオプション
スタンダードプランと、より深く、細かく分析を行うためのオプションをご用意しています。
予算や目的に応じたプラン選択が可能です。
-
スタンダードプラン
外部からの攻撃者目線で、API環境について、攻撃者余地のある脆弱性がないか、多角的に診断します。
診断は手動でも行うため、ツールを利用した自動診断よりも、精度の高い診断を実施することが可能です。
-
オプション
スタンダードプランにプラスした診断項目で実施します。
より幅広く診断したい場合におすすめです。
[対象となる脆弱性]・不適切な承認やアセット管理
・機能レベルでの認可不備 など
※サイトの環境やサイトの構成によっては、診断項目すべてを実施困難な場合がございます。
診断項目比較
オプションでは、ご希望に合わせて必要な項目を追加いただくことが可能です。
※サイトの構成や環境によって実施可否を判断させていただきます。環境によっては、実施できない場合もございますので、ご留意ください。
サイトシールの配布
サイトシールは、WebサイトまたはWebサービス内に表示することで、訪問者に対して「第三者によるセキュリティ診断を実施した、安心で信頼できるサイト」であることをアピールできる画像です。
診断後、報告書と併せてスクリプトをお送りしております。詳細は以下ページよりご確認ください。
- アクセス制限している環境に対しても診断サービスを受けることは可能でしょうか。
-
可能です。
対象サイトに接続する必要があるため、アクセス制限している場合は、当社からのアクセス許可をお願いしております。
そのうえで、診断を実施させていただいております。
- WAFやIPSなどの設備がある環境でも診断サービスを受けることは可能でしょうか。
-
可能です。
正常動作しているかどうかも含めて診断させていただきます。
- 再診断は可能でしょうか。
-
可能です。
報告書納品から1ヶ月以内に再診断希望箇所について、ご依頼いただくことで対応いたします。なお、再診断は一回あたり費用が発生いたしますので、ご了承ください。
- 再診断時に報告書を作成することは可能でしょうか。
-
可能です。
別途費用は発生いたしますが、初回診断報告書をもとに改訂版として納品させていただきます。
- クラウドサービス(AWSやAzure、GCPなど)上で稼働しているWebサイトでも診断可能でしょうか。
-
診断可能です。
ただし、AWSの特定のEC2インスタンスタイプなど一部、使用が非推奨となっている場合もありますので、事前にお使いのサービス・プロバイダーカスタマーサポートへご確認ください。
- 診断によるサービス停止等の影響はありますか。
-
低負荷・非破壊型の検査を行なっておりますので、基本的には発生しません。
ただし、古いOSやミドルウェア等利用環境ではサービス停止等の予期せぬ障害が発生する可能性もあります。保証することはできかねますので、事前にバックアップ等の対策をお願いいたします。
- 英語でのサービス提供は可能でしょうか。
-
恐れ入りますが、日本語のみでのサービスになります。ご了承ください。
