ホーム 支援メニュー 技術情報 会社案内 脆弱性診断 お問い合わせ English

ASH / 脆弱性診断サービス

脆弱性診断サービス

Webアプリ・サーバ・ネットワークの弱点を、攻撃者より先に。
OSSツール × 金融グレードの実装経験で、コストと精度を両立します。

サービス案内PDFをダウンロード 経営者向けサマリー+担当者向け詳細(A4・8ページ)

なぜ今、脆弱性診断が必要か

サイバー攻撃の高度化、規制対応、取引先からの要請。Webサービスを公開する以上、脆弱性診断は「やった方がよい」から「やらないリスクが大きい」フェーズに移っています。

攻撃の高度化・AI 化

自動スキャナや AI を用いた攻撃ボットが、公開直後のサイトでも数時間で侵入を試行します。脆弱性は「あるかもしれない」ではなく「いつ突かれるか」の問題です。

規制・ガイドライン対応

個人情報保護法、PCI DSS、業界別ガイドライン、金融商品取引法など、診断実施そのものが要件化される領域が広がっています。

サプライチェーン要求

親会社・取引先から「脆弱性診断のレポート提出」を求められるケースが急増。商談・契約継続の前提条件となる場面が増えています。ASH では診断結果をもとにした取引先セキュリティチェックシートへの回答支援(オプション)も提供します。

提供する診断

対象や深さに合わせて、4 種類の診断を単独 / 組み合わせで提供します。

Web アプリケーション診断

OWASP ZAP を用いた DAST(動的解析)で、SQL インジェクション、XSS、認証・セッション管理不備、アクセス制御不備など OWASP Top 10 系の脆弱性を網羅的に検出。フォーム入力・多段遷移・認証付き画面にも対応。

OWASP ZAP DAST OWASP Top 10 認証スキャン対応

プラットフォーム / ネットワーク診断

OpenVAS / Nessus を用い、OS・ミドルウェア・サーバ・NW 機器の既知脆弱性(CVE)、設定不備、不要ポート、パッチ未適用などを検出。専用サーバ・オンプレ・VPC 内リソースに対し、認証スキャンを含む深度のある診断を実施。

OpenVAS Nessus CVE パッチ管理
ASHの強み

ホワイトボックス診断(ソース提供)

ソースコードを受領し、内部から精査する診断。外部からは見えないサーバ側の処理(認可チェック、DB 操作、ファイル IO、機密情報のハードコード、メール送信処理など)まで踏み込んで検出可能。Semgrep などの SAST + 専門エンジニアによる手動コードレビューを併用します。

SAST Semgrep 手動コードレビュー 認可不備検出

ハイブリッド診断

ブラックボックス(ZAP)とホワイトボックス(SAST + 手動レビュー)を組み合わせ、重複工程を圧縮しつつ外部・内部の両面から網羅的に評価。重要システム・金融系・個人情報を扱うシステム向け。

ブラックボックス + ホワイトボックス 網羅的 金融・基幹系向け

診断実績

コーポレートサイトから、ミッションクリティカルな金融取引システムまで、複数の実環境で診断と対策提案を行ってきました。

コーポレートサイト診断

公開 Web サイトに対する OWASP ZAP / OpenVAS によるブラックボックス診断。フォーム、認証、共用ホスティング環境の制約を踏まえたスコープ設計と、検出後の対策提案までワンストップで対応。

オンライン取引システム診断

金融グレードのオンライン取引システム(証券・デリバティブ系)に対する脆弱性診断。高可用性・低レイテンシ要件下での無停止診断、ステージング環境での網羅診断、本番リリース前の最終チェックを実施。

ホワイトボックス診断

カスタム開発の Web アプリ・API について、ソースコード受領のうえ Semgrep などの SAST と手動コードレビューを組み合わせ実施。フォームのサーバ側処理、認可制御、機密情報の取り扱いを内部から検証。

使用する主なツール

OWASP ZAP

OWASP 公式の Web アプリケーション診断ツール(DAST)。Active Scan / Passive Scan / Ajax Spider に対応し、認証付き画面も含めた網羅的な動的解析を行います。

OpenVAS / Greenbone

OSS のプラットフォーム脆弱性スキャナ。CVE データベースを基盤に、OS・ミドルウェアの既知脆弱性、設定不備、開放ポートを検出。

Nessus

商用プラットフォーム脆弱性スキャナのデファクトスタンダード。エンタープライズグレードの検出力で、認証スキャン、コンプライアンス監査(CIS / DISA STIG 等)にも対応。

Semgrep ほか SAST

ホワイトボックス診断時に使用する静的解析ツール。PHP / TypeScript / Python など主要言語のセキュリティルールを実行し、危険な実装パターンを検出。

ホワイトボックス診断という選択肢

多くの診断ベンダーがブラックボックス(外部診断)のみを提供する中、ASHは ソースコードを受領して内部から精査するホワイトボックス診断 にも対応しています。受託開発で実装側を熟知しているからこそ、コードに踏み込んだ確度の高い指摘が可能です。

  • フォーム / API のサーバ側処理(入力検証、CSRF、認可チェック)を直接確認
  • 外部からは見えない機密情報のハードコード、危険な関数利用を検出
  • SAST 結果のトリアージ(誤検知除去)に加え、専門エンジニアによる手動コードレビューを併用
  • 修正例(コード抜粋)まで含めた実装者向けのレポートを提供

診断の進め方

初回ヒアリングから報告書提出・再診断まで、5 ステップで進めます。

  1. 01

    ヒアリング・スコープ確定

    診断目的(規制対応/取引先要請/リリース前確認)と対象範囲(URL、IP、ソースコード)を整理。事前にスコープを詰めることで見積もり精度が上がり、無駄な工数を抑えられます。

  2. 02

    環境準備・許可取得

    ステージング環境の準備、WAF / IDS の一時調整、ホスティング業者への診断申請(CPI / AWS など)、NDA 締結を行います。本番影響を避けるための事前調整は当社が伴走します。

  3. 03

    診断の実施

    選定したツール(OWASP ZAP / OpenVAS / Nessus / SAST)で自動スキャンを実行し、結果を専門エンジニアがトリアージ。必要に応じて手動検証・手動コードレビューを組み合わせます。緊急レベルの脆弱性を検出した場合は、報告書の完成を待たず検出当日に速報し、暫定対処をご案内します。

  4. 04

    レポート提出・報告会

    検出脆弱性のリスク評価(CVSS 等)と具体的な対策案(修正コード例を含む)を記載した日本語レポートを提出。オンライン報告会で実装担当者と直接ディスカッションも可能です。

  5. 05

    再診断(1 回標準込み)

    修正後の確認診断(1 回)を標準費用内で実施し、対策が有効に機能しているかを再評価。「直った状態」までを成果物とします。リリースサイクルに組み込んだ定期診断のご相談も承ります。

成果物:診断報告書

「検出して終わり」ではなく、経営報告に使えるサマリーと、実装者がそのまま動ける対策案の両方を1冊にまとめます。匿名化したサンプルレポートを商談時にご提供しますので、報告書の品質は発注前にご確認いただけます。

章構成内容主な読者
1. エグゼクティブサマリー総合リスク評価、重大な検出事項、推奨対応の優先順位を 1〜2 ページに凝縮経営層・管理職
2. 診断概要対象範囲、診断手法・使用ツール、実施期間、制約事項管理職・担当者
3. 検出事項一覧脆弱性ごとのリスクレベル(CVSS 準拠)・影響・再現手順担当者
4. 対策提案脆弱性ごとの具体的な修正方法。ホワイトボックス診断では該当コード行と修正例を明記開発者
5. 付録スキャン生データ、参考情報(CVE / CWE 等へのリンク)開発者

検出事項のリスク評価基準(CVSS 準拠)

レベル定義対応の目安
緊急外部から容易に悪用可能で、情報漏えい・改ざん・システム停止に直結する即時対応(暫定対処含む)
悪用には条件があるが、成立すれば重大な影響がある1〜2 週間以内に修正
単体での実害は限定的だが、他の脆弱性と組み合わせて悪用され得る次回リリースで修正
直接的な実害の可能性は低いが、堅牢化のため対応が望ましい計画的に対応
情報脆弱性ではないが、把握しておくべき構成情報・推奨設定参考情報として活用

緊急レベルの即日速報:診断期間中に「緊急」レベルの脆弱性を検出した場合は、報告書の完成を待たず検出当日に速報し、暫定対処をご案内します。

推奨する運用モデル:定期ツール診断 + 要所での手動診断

定期ツール診断(ベース)

四半期〜月次で OWASP ZAP / OpenVAS による自動スキャンを実施し、新たな CVE・設定変更によるリスクを継続監視。低コストで反復可能。

手動診断(要所)

大型リリース前・重要機能追加時・年 1 回の定期点検で、専門エンジニアによる手動診断・コードレビューを実施。ツールで出ないロジック欠陥を捕捉。

※ リリースサイクルへの組み込み(CI/CD での自動スキャン連携 = DevSecOps)のご相談も承ります。

費用感の目安

対象規模・診断深度・レポート要件により変動します。下記は市場相場をベースとした概算(税別)で、正式な見積もりはヒアリング後にご提示します。

診断種別 費用感の目安 備考
Web アプリ診断(小規模) 20 万 〜 50 万円 WordPress 等、フォーム数が少ない構成
Web アプリ診断(中規模) 40 万 〜 80 万円 100 画面前後、フォーム複数系統
プラットフォーム診断 1 IP あたり 5 万 〜 20 万円 OpenVAS / Nessus。専用サーバ向き
ホワイトボックス診断 50 万 〜 150 万円 カスタムコード量に依存(SAST + 手動)
ハイブリッド(ブラック + ホワイト) 80 万 〜 200 万円 重要システム・金融系向け
再診断(修正後確認) 1 回まで標準込み 修正箇所に絞った確認診断(3〜5 営業日)。2 回目以降は初回費用の 20〜30%
チェックシート回答支援 5 万 〜 15 万円 取引先・親会社のセキュリティ質問票への回答作成を支援(診断とセットでのご提供)

※ ライセンス費は OSS ツール(OWASP ZAP / OpenVAS / Semgrep)を主軸とすることで実質ゼロ。費用の大部分は工数(人件費)です。商用ツール(Nessus)を使う場合はライセンス費を別途ご提示します。

顧問契約(FDE)企業様向けのメリット

ASH と顧問契約を締結し、FDE(Forward Deployed Engineer)として開発・運用をご支援中の企業様は、外部ベンダーに新規依頼する場合と比べて大幅に有利な条件で脆弱性診断を実施できます。

① ヒアリング・環境調査が実質ゼロ

FDE はシステム構成・コード・運用を既に把握しています。外部診断で必須となるスコープ確定・環境調査の工数(1〜2 人日)がほぼ不要になり、費用と納期を圧縮できます。

② 検出 → 修正 → 再診断がワンループ

通常は「診断ベンダーの報告書 → 開発ベンダーへ修正依頼 → 再診断手配」と 3 者間の調整が必要ですが、FDE なら検出した本人がそのまま修正し、即再診断。対応完了までの期間が数分の一になります。

③ ビジネス文脈に基づく優先順位付け

どの機能が売上・個人情報・基幹業務に直結するかを理解しているため、機械的な CVSS スコアだけでなく、貴社の実態に即したリスク評価と対応順を提示できます。

④ 機密情報が外部に出ない

新たな NDA 締結・ソースコードの社外提供が不要。既存の顧問契約の枠内で、システム内部情報・検出された脆弱性情報を追加の開示先を増やさずに扱えます。

項目外部ベンダーに新規依頼FDE(ASH 顧問契約)が実施
事前ヒアリング・環境調査1〜2 人日(別途費用)ほぼ不要(システム既知)
契約・NDA新規締結が必要既存の顧問契約内で対応
検出後の修正別途、開発ベンダーへ依頼・調整FDE がそのまま修正(即着手)
再診断別途見積り・日程調整修正後即時に再スキャン
費用感市場相場どおり(フル工数)準備・調整工数の圧縮分、相場より低コスト。小規模なら顧問稼働内での実施もご相談可
継続診断都度契約リリースサイクルに組み込み、DevSecOps として常時運用可

※ 取引先・監査から「第三者による独立した診断」を明示的に求められている場合は、自社開発部分について外部ベンダー診断の併用をご提案します(FDE が窓口・伴走することで、その場合も調整コストを圧縮できます)。

ご担当者様向け:事前準備チェックリスト

以下を事前にご準備いただくと、見積り精度が上がり、診断がスムーズに進み、費用も抑えられます。すべて揃っていなくても構いません — 不明点はヒアリングで一緒に整理します。

A. 対象の棚卸し(見積り精度に直結)

  • 診断対象の URL・ドメイン一覧 — 本番/ステージングの別、サブドメインも含めて
  • 画面数・フォームの一覧 — 入力フォームは診断の重点対象。多段ステップの有無も
  • サーバ・IP アドレスの一覧 — クラウド/専用サーバ/共用ホスティングの別も
  • API エンドポイントの一覧 — API 仕様書(OpenAPI 等)があれば診断効率が大幅に向上

B. 環境・権限の確認(診断の前提条件)

  • ステージング環境の有無 — ない場合は低負荷時間帯での実施を調整します
  • ホスティング事業者の診断ポリシー確認 — 共用ホスティングは事前申請が必須の場合あり。申請は当社が支援します
  • WAF / IDS / IPS の有無と管理者 — 診断元 IP の除外設定等が必要になる場合があります
  • テスト用アカウントの準備 — 一般+管理者の 2 種類あると権限昇格の検査も可能

C. ホワイトボックス診断を行う場合

  • ソースコード一式の提供準備 — Git リポジトリへの読み取りアクセス等。NDA は事前に締結します
  • カスタム開発部分の特定 — 自社開発部分に集中することで費用を抑制できます
  • 構成図・DB スキーマ・環境情報 — 使用ライブラリ一覧があると解析が効率化します

D. 社内調整

  • 診断窓口担当者の決定 — 技術的な質疑・緊急時連絡の窓口を 1 名
  • 関係者への事前周知 — 運用・監視チームへ実施期間を共有してください
  • 直近バックアップの確認 — 万一に備えて取得状況をご確認ください
  • 修正体制の確保(推奨) — 当社での修正支援も可能です

サービス案内 PDF(このページの内容+経営者向けサマリー)

社内回覧・稟議にそのままお使いいただける A4・8 ページの資料です。1 ページ目だけで経営層が概要を判断できる構成になっています。

PDF をダウンロード

お問い合わせ

対象システム・希望診断種別・希望時期などお知らせください。スコープを整理したうえでお見積もりをご提示します。

社名
株式会社ASH
所在地
大阪市北区同心
URL
www.ash.osaka