【Webアプリケーション脆弱性診断】経験豊富なホワイトハッカーのスキル・ノウハウを業界内でいち早く標準化し、高品質・低価格・短納期を実現
総合的なセキュリティサービスを展開するクラフ。中でも主軸となるのが、ソフトウェアやシステムなどに内在する脆弱性がないか、ある場合はどのようなリスクがあるかとその対策について検査する脆弱性診断です。
クラフの脆弱性診断は、これまでには10,000件以上(※)の診断実績を誇り、業界トップクラスに成長しました。
具体的にどのようなサービスを提供しているのか、クラフの強みは何かなどをシリーズでお伝えします。第1回は、脆弱性診断の中でも特にご依頼の多いWebアプリケーション脆弱性診断についてです。
※2025年3月現在、グループ実績
クラフの脆弱性診断の強み
1.ホワイトハッカーのスキル・ノウハウを業界内でいち早く標準化することで“高品質”を実現
クラフには、これまでにセキュリティ業界で長くキャリアを築いてきた経験豊富なホワイトハッカーが在籍しています。
<業界実績>
<案件実績>
- 金融、暗号資産 のセキュリティコンサル
- 各種 脆弱性診断、フォレンジック調査
- セキュリティセミナー、講師
- 各種セキュリティガイドライン策定への参与
例:クラウドサービス提供・利用における適切な設定に関するガイドライン策定への参加
暗号資産安全管理標準策定への参加
私たちは、こうした幅広い業界のお客様へセキュリティサービスを提供してきたホワイトハッカーのスキル・ノウハウを業界内でいち早く標準化しました。
標準化をする上で必要なのが、どのような診断をしたらどのような脆弱性が現れるといった「観点」です。ホワイトハッカーであれば独自に観点を持っていますし、ベンダー各社がそれぞれの観点表を持っていて、もちろんクラフでも観点表の整備を行っています。
従来のホワイトハッカー診断では、報告書の形として診断をした対象、診断者、脆弱性の有無、評価のみを記載する形が一般的でした。結果のみの記載のため、どこを、どの観点で、どれだけ検査して「脆弱性がなかった」といえるのかが不透明という課題がありました。
こうした課題を踏まえ、クラフでは観点表に基づきどのような診断をしたか、その結果はどうだったのか、診断の過程も合わせて報告をするため、よりお客様に安心を届けられます。例えば、ログイン画面を表示する、IDとパスワードを送る、ログインに成功 / 失敗する、ユーザー画面が表示されるといったような一挙手一投足を細かく記録しているイメージです。
クラフでは、ホワイトハッカー独自の観点やスキル・ノウハウを取り入れながら、ホワイトハッカーでなくとも、むしろ、「診断」が得意な人材が対応するからこそ、結果にブレがない「標準化診断」によって高い品質を確保しています。
2.徹底的な効率化で“低価格”を実現
脆弱性診断業務を仕組み化することで、徹底的に無駄を削減。生産性の向上を可能にしました。大手ベンダーと比較すると、診断コストは約30%の低減を実現しています。
また、お客様のサービスやご要望に応じて複数の料金プランをご用意しています。
| プラン名 | 特徴 | サービス例 |
| プラチナ | 高度な攻撃を想定して診断したい | ・金融サービス ・高度な攻撃が想定されるWebサイト |
| ゴールド | 網羅性高く脆弱性を洗い出したい | ・ECサイト ・個人情報を保持するWebサイト |
| シルバー | 緊急度の高い脆弱性を洗い出したい | ・コーポレートサイト ・個人情報を保持しないWebサイト |
| ブロンズ | とにかくコストを抑えて診断をしたい | ・キャンペーンサイト ・一時的に運営するWebサイト |
3.国内トップクラスの供給力で“短納期”を実現
セキュリティ業界では慢性的な人材不足が課題となっていますが、クラフでは上記の標準化・仕組み化により徹底した効率化を実現したほか、ハイスキルなホワイトハッカーでなくても一定の品質で脆弱性診断業務に携わることを可能にしました。
創業から7年で140名体制に成長。グループ全体では200名以上の体制で脆弱性診断の提供にあたっており、国内トップクラスの供給量となっています。
さらにクラフでは、適性検査を用いることで、業務適性があり高い生産性を見込める人材の採用を行っています。個々の生産性の高さを活かしながら、200名超の体制でご依頼いただいた案件に対して短納期を実現しています。
4.国際基準に基づいた脆弱性診断にも、業界に先駆けて対応
クラフでは、OWASP TOP10、ASVSといった、全てのWebアプリケーションで確認すべき診断項目として定められている国際基準に対応しています。
また、診断で発見された脆弱性は、それがどれだけリスクの高いものなのかを分かりやすくお客様にお伝えする必要があります。クラフでは、脆弱性リスク評価の共通言語ともいえる「共通脆弱性評価システムCVSS」に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告しています。
これも業界に先駆けた取り組みとして注目されています。最近では、同じく国際基準に基づいた診断を採用する動きが業界全体としても大きくなってきています。
IPA(独立行政法人 情報処理推進機構)では一定の基準を満たしたセキュリティベンダーのリストを「情報セキュリティサービス基準適合サービスリスト」として公開しています。審査を通過したベンダーとサービスのみが掲載されているため、情報セキュリティサービスを選択する際の一助となるでしょう。
クラフも、SHIFT SECURITYグループとしてこの基準に適合するサービスを提供しています。
【参照】情報セキュリティサービス基準適合サービスリスト(IPA)
圧倒的ニーズのあるWebアプリケーション脆弱性診断
Webアプリケーション脆弱性診断とは、ここまでご紹介した脆弱性診断サービスのうち、Webサイト、WebサービスなどのWebアプリケーション全般を診断対象とするものです。
例えば、私たちがよく目にするWebサイトでは、ブラウザでログインをしたり、情報を書き込んだりといった場面がありますよね。ECサイトでオンラインショッピングを楽しむ、会員制ブログの運営・閲覧するなど、日常的に接する機会も多いのではないでしょうか。
そのため、クラフが提供するWeb脆弱性診断はWebサイトを公開している全ての会社・団体・官公庁・自治体が対象となります。特に、投稿フォームなど情報を入力するページを含んだコーポレートサイトの診断は非常に多くご依頼をいただいています。
たとえユーザーに個人情報の入力を求める場面がないWebサイトであっても、何らかのフレームワークやサーバを利用しています。そのため、設定のミスなどで外部に漏れてはいけないファイルが閲覧できてしまったり、場合によっては改ざんが可能となっていたりといったリスクがあります。必要とされる観点の広さや深さに違いはあれど、公開されている全てのWebサイトで脆弱性診断をしておくべきと言えるでしょう。
網羅的な診断が必要な場合は、まず標準化された診断をおすすめしています。網羅的な診断をした上で、必要に応じてホワイトハッカーが範囲を絞って、より詳細な観点で診断を行うことがベストです。
私たちは「全ての人にセキュリティを届ける」ことを大切にしているため、導入していただきやすい料金体系でサービスを提供しています。過去に診断をご依頼いただいたお客様はもちろん、初めて脆弱性診断の依頼をお考えのお客様にも安心していただけるよう、明確に料金が定められていて、ご納得いただけるコスト・納期でのサービス提供に努めています。
お気軽にお問い合わせを
クラフでは、脆弱性診断をはじめ、セキュリティ監視など総合的なセキュリティサービスを提供しています。セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご連絡くださいませ。
セキュリティ(脆弱性)診断・検査
お客様のWEBアプリケーション・スマートフォンアプリ等に対し、想定される攻撃者からの擬似攻撃を試行・考察することで、セキュリティホール(脆弱性)を検出し、安全性を徹底的に調査します。
この記事に関連する事業
