Webアプリ・サーバ・ネットワークの弱点を、攻撃者より先に。
OSSツール × 金融グレードの実装経験で、コストと精度を両立します。
サイバー攻撃の高度化、規制対応、取引先からの要請。Webサービスを公開する以上、脆弱性診断は「やった方がよい」から「やらないリスクが大きい」フェーズに移っています。
自動スキャナや AI を用いた攻撃ボットが、公開直後のサイトでも数時間で侵入を試行します。脆弱性は「あるかもしれない」ではなく「いつ突かれるか」の問題です。
個人情報保護法、PCI DSS、業界別ガイドライン、金融商品取引法など、診断実施そのものが要件化される領域が広がっています。
親会社・取引先から「脆弱性診断のレポート提出」を求められるケースが急増。商談・契約継続の前提条件となる場面が増えています。ASH では診断結果をもとにした取引先セキュリティチェックシートへの回答支援(オプション)も提供します。
対象や深さに合わせて、4 種類の診断を単独 / 組み合わせで提供します。
OWASP ZAP を用いた DAST(動的解析)で、SQL インジェクション、XSS、認証・セッション管理不備、アクセス制御不備など OWASP Top 10 系の脆弱性を網羅的に検出。フォーム入力・多段遷移・認証付き画面にも対応。
OpenVAS / Nessus を用い、OS・ミドルウェア・サーバ・NW 機器の既知脆弱性(CVE)、設定不備、不要ポート、パッチ未適用などを検出。専用サーバ・オンプレ・VPC 内リソースに対し、認証スキャンを含む深度のある診断を実施。
ソースコードを受領し、内部から精査する診断。外部からは見えないサーバ側の処理(認可チェック、DB 操作、ファイル IO、機密情報のハードコード、メール送信処理など)まで踏み込んで検出可能。Semgrep などの SAST + 専門エンジニアによる手動コードレビューを併用します。
ブラックボックス(ZAP)とホワイトボックス(SAST + 手動レビュー)を組み合わせ、重複工程を圧縮しつつ外部・内部の両面から網羅的に評価。重要システム・金融系・個人情報を扱うシステム向け。
コーポレートサイトから、ミッションクリティカルな金融取引システムまで、複数の実環境で診断と対策提案を行ってきました。
公開 Web サイトに対する OWASP ZAP / OpenVAS によるブラックボックス診断。フォーム、認証、共用ホスティング環境の制約を踏まえたスコープ設計と、検出後の対策提案までワンストップで対応。
金融グレードのオンライン取引システム(証券・デリバティブ系)に対する脆弱性診断。高可用性・低レイテンシ要件下での無停止診断、ステージング環境での網羅診断、本番リリース前の最終チェックを実施。
カスタム開発の Web アプリ・API について、ソースコード受領のうえ Semgrep などの SAST と手動コードレビューを組み合わせ実施。フォームのサーバ側処理、認可制御、機密情報の取り扱いを内部から検証。
OWASP 公式の Web アプリケーション診断ツール(DAST)。Active Scan / Passive Scan / Ajax Spider に対応し、認証付き画面も含めた網羅的な動的解析を行います。
OSS のプラットフォーム脆弱性スキャナ。CVE データベースを基盤に、OS・ミドルウェアの既知脆弱性、設定不備、開放ポートを検出。
商用プラットフォーム脆弱性スキャナのデファクトスタンダード。エンタープライズグレードの検出力で、認証スキャン、コンプライアンス監査(CIS / DISA STIG 等)にも対応。
ホワイトボックス診断時に使用する静的解析ツール。PHP / TypeScript / Python など主要言語のセキュリティルールを実行し、危険な実装パターンを検出。
多くの診断ベンダーがブラックボックス(外部診断)のみを提供する中、ASHは ソースコードを受領して内部から精査するホワイトボックス診断 にも対応しています。受託開発で実装側を熟知しているからこそ、コードに踏み込んだ確度の高い指摘が可能です。
初回ヒアリングから報告書提出・再診断まで、5 ステップで進めます。
診断目的(規制対応/取引先要請/リリース前確認)と対象範囲(URL、IP、ソースコード)を整理。事前にスコープを詰めることで見積もり精度が上がり、無駄な工数を抑えられます。
ステージング環境の準備、WAF / IDS の一時調整、ホスティング業者への診断申請(CPI / AWS など)、NDA 締結を行います。本番影響を避けるための事前調整は当社が伴走します。
選定したツール(OWASP ZAP / OpenVAS / Nessus / SAST)で自動スキャンを実行し、結果を専門エンジニアがトリアージ。必要に応じて手動検証・手動コードレビューを組み合わせます。緊急レベルの脆弱性を検出した場合は、報告書の完成を待たず検出当日に速報し、暫定対処をご案内します。
検出脆弱性のリスク評価(CVSS 等)と具体的な対策案(修正コード例を含む)を記載した日本語レポートを提出。オンライン報告会で実装担当者と直接ディスカッションも可能です。
修正後の確認診断(1 回)を標準費用内で実施し、対策が有効に機能しているかを再評価。「直った状態」までを成果物とします。リリースサイクルに組み込んだ定期診断のご相談も承ります。
「検出して終わり」ではなく、経営報告に使えるサマリーと、実装者がそのまま動ける対策案の両方を1冊にまとめます。匿名化したサンプルレポートを商談時にご提供しますので、報告書の品質は発注前にご確認いただけます。
| 章構成 | 内容 | 主な読者 |
|---|---|---|
| 1. エグゼクティブサマリー | 総合リスク評価、重大な検出事項、推奨対応の優先順位を 1〜2 ページに凝縮 | 経営層・管理職 |
| 2. 診断概要 | 対象範囲、診断手法・使用ツール、実施期間、制約事項 | 管理職・担当者 |
| 3. 検出事項一覧 | 脆弱性ごとのリスクレベル(CVSS 準拠)・影響・再現手順 | 担当者 |
| 4. 対策提案 | 脆弱性ごとの具体的な修正方法。ホワイトボックス診断では該当コード行と修正例を明記 | 開発者 |
| 5. 付録 | スキャン生データ、参考情報(CVE / CWE 等へのリンク) | 開発者 |
| レベル | 定義 | 対応の目安 |
|---|---|---|
| 緊急 | 外部から容易に悪用可能で、情報漏えい・改ざん・システム停止に直結する | 即時対応(暫定対処含む) |
| 高 | 悪用には条件があるが、成立すれば重大な影響がある | 1〜2 週間以内に修正 |
| 中 | 単体での実害は限定的だが、他の脆弱性と組み合わせて悪用され得る | 次回リリースで修正 |
| 低 | 直接的な実害の可能性は低いが、堅牢化のため対応が望ましい | 計画的に対応 |
| 情報 | 脆弱性ではないが、把握しておくべき構成情報・推奨設定 | 参考情報として活用 |
※ 緊急レベルの即日速報:診断期間中に「緊急」レベルの脆弱性を検出した場合は、報告書の完成を待たず検出当日に速報し、暫定対処をご案内します。
四半期〜月次で OWASP ZAP / OpenVAS による自動スキャンを実施し、新たな CVE・設定変更によるリスクを継続監視。低コストで反復可能。
大型リリース前・重要機能追加時・年 1 回の定期点検で、専門エンジニアによる手動診断・コードレビューを実施。ツールで出ないロジック欠陥を捕捉。
※ リリースサイクルへの組み込み(CI/CD での自動スキャン連携 = DevSecOps)のご相談も承ります。
対象規模・診断深度・レポート要件により変動します。下記は市場相場をベースとした概算(税別)で、正式な見積もりはヒアリング後にご提示します。
| 診断種別 | 費用感の目安 | 備考 |
|---|---|---|
| Web アプリ診断(小規模) | 20 万 〜 50 万円 | WordPress 等、フォーム数が少ない構成 |
| Web アプリ診断(中規模) | 40 万 〜 80 万円 | 100 画面前後、フォーム複数系統 |
| プラットフォーム診断 | 1 IP あたり 5 万 〜 20 万円 | OpenVAS / Nessus。専用サーバ向き |
| ホワイトボックス診断 | 50 万 〜 150 万円 | カスタムコード量に依存(SAST + 手動) |
| ハイブリッド(ブラック + ホワイト) | 80 万 〜 200 万円 | 重要システム・金融系向け |
| 再診断(修正後確認) | 1 回まで標準込み | 修正箇所に絞った確認診断(3〜5 営業日)。2 回目以降は初回費用の 20〜30% |
| チェックシート回答支援 | 5 万 〜 15 万円 | 取引先・親会社のセキュリティ質問票への回答作成を支援(診断とセットでのご提供) |
※ ライセンス費は OSS ツール(OWASP ZAP / OpenVAS / Semgrep)を主軸とすることで実質ゼロ。費用の大部分は工数(人件費)です。商用ツール(Nessus)を使う場合はライセンス費を別途ご提示します。
ASH と顧問契約を締結し、FDE(Forward Deployed Engineer)として開発・運用をご支援中の企業様は、外部ベンダーに新規依頼する場合と比べて大幅に有利な条件で脆弱性診断を実施できます。
FDE はシステム構成・コード・運用を既に把握しています。外部診断で必須となるスコープ確定・環境調査の工数(1〜2 人日)がほぼ不要になり、費用と納期を圧縮できます。
通常は「診断ベンダーの報告書 → 開発ベンダーへ修正依頼 → 再診断手配」と 3 者間の調整が必要ですが、FDE なら検出した本人がそのまま修正し、即再診断。対応完了までの期間が数分の一になります。
どの機能が売上・個人情報・基幹業務に直結するかを理解しているため、機械的な CVSS スコアだけでなく、貴社の実態に即したリスク評価と対応順を提示できます。
新たな NDA 締結・ソースコードの社外提供が不要。既存の顧問契約の枠内で、システム内部情報・検出された脆弱性情報を追加の開示先を増やさずに扱えます。
| 項目 | 外部ベンダーに新規依頼 | FDE(ASH 顧問契約)が実施 |
|---|---|---|
| 事前ヒアリング・環境調査 | 1〜2 人日(別途費用) | ほぼ不要(システム既知) |
| 契約・NDA | 新規締結が必要 | 既存の顧問契約内で対応 |
| 検出後の修正 | 別途、開発ベンダーへ依頼・調整 | FDE がそのまま修正(即着手) |
| 再診断 | 別途見積り・日程調整 | 修正後即時に再スキャン |
| 費用感 | 市場相場どおり(フル工数) | 準備・調整工数の圧縮分、相場より低コスト。小規模なら顧問稼働内での実施もご相談可 |
| 継続診断 | 都度契約 | リリースサイクルに組み込み、DevSecOps として常時運用可 |
※ 取引先・監査から「第三者による独立した診断」を明示的に求められている場合は、自社開発部分について外部ベンダー診断の併用をご提案します(FDE が窓口・伴走することで、その場合も調整コストを圧縮できます)。
以下を事前にご準備いただくと、見積り精度が上がり、診断がスムーズに進み、費用も抑えられます。すべて揃っていなくても構いません — 不明点はヒアリングで一緒に整理します。
対象システム・希望診断種別・希望時期などお知らせください。スコープを整理したうえでお見積もりをご提示します。