脆弱性診断

青い光の曲線が流れるように描かれた抽象的なデザイン
Vulnerability Assessment

脆弱性診断

  • 攻撃者視点での実践的な診断

    現実的な攻撃シナリオに基づく侵入検証

    SynXのホワイトハッカーが実際の運用環境に近い条件で、攻撃者の視点に立ったシナリオや目的に基づいて、防御体制の弱点を検証します。ソーシャルエンジニアリングやブルートフォース攻撃など、通常の診断では扱わない手法も用いて侵入を試みます。
  • 被害の可視化と再発防止まで支援

    被害の可視化と再発防止まで支援

    脆弱性の発見にとどまらず、攻撃経路の可視化や被害範囲の推定、再発防止策の提案までを含めて、包括的な支援を行います。
  • リアルタイムでの防御力の評価・支援

    リアルタイムでの防御力の評価・支援

    実際に攻撃を行うレッドチーム側とお客様の環境内で攻撃を防御するブルーチーム側に分かれて演習を行い、システムの防御力や復旧力を評価・支援することが可能です。
List of Assessment Items

診断項目

Webアプリケーション診断

Webアプリケーションに潜む脆弱性や、攻撃者の悪用プロセスについて網羅的に診断します。 (例:SQLインジェクション、クロスサイトスクリプティング(XSS)など) 診断は国際的なガイドライン「OWASP Top 10」や、IPA(独立行政法人情報処理推進機構) が定める「安全なウェブサイトの作り方」に準拠して実施します。

プラットフォーム診断(ネットワーク診断)

サーバ、ネットワーク機器、ファイアウォールなどを対象に、既知の脆弱性や設定不備を検証します。 内部・外部ネットワークの両方の診断に対応し、外部からの攻撃や内部からの 不正アクセスによるリスクを評価します。

スマホアプリ診断(iOS / Android)

静的解析と動的解析を組み合わせ、モバイルアプリ特有のリスクを可視化します。 コードに潜む脆弱性や、機密情報・個人情報の漏洩などを多角的に検証し、 「OWASP Mobile Top 10」に準拠した診断を実施します。 アプリストア審査やデータ保護の観点から、セキュリティ品質向上のための改善提案も行います。

クラウド診断

AWS、Azure、Google Cloudなどの主要クラウド環境を対象に、 設定や権限管理の不備を中心としたセキュリティリスクを可視化します。 クラウド特有の脅威を踏まえ、安全な構成・運用のための改善提案を行います。

ソースコード診断

アプリケーションのソースコードを直接解析することで、 一般的なWebアプリケーション脆弱性診断(ブラックボックステスト)では 検出が難しい脆弱性まで検出します。

AIセキュリティ診断(LLM診断)

生成AIやLLMを活用したアプリケーションを対象に、 プロンプトインジェクション、情報漏洩、モデルの悪用といった セキュリティリスクを検証します。 診断は国際的なガイドライン 「OWASP Top 10 for LLM Applications 2025」に基づいて実施します。



デスクトップアプリ診断

WindowsやMacで動作するアプリケーションを対象に評価を行い、 アプリケーションに起因する脆弱性やリスクを特定します。 バイナリ解析や高度なリバースエンジニアリングを実施し、 秘匿すべきロジックやデータ解析耐性などを検証します。

IoT診断

組み込み機器や産業用デバイスを対象に、 ファームウェア解析(ソフトウェア解析)や動的解析を通じて、 不正操作やデータ改ざんのリスクを評価します。




NFT・ブロックチェーン診断(スマートコントラクト診断)

スマートコントラクトやNFTアプリケーションを対象に、 「SWC Registry」に準拠したソースコード解析を実施します。 コントラクトの脆弱性検証に加え、 ブロックチェーンアプリケーション本体に対する診断も併せて行い、 資産流出や取引不正を防ぐ堅牢な設計を支援します。

プラン

ご要望に合わせて最適な脆弱性診断のプランを提供します。
定期的・継続的にセキュリティリスクを未然に防ぐために、 お得なパッケージプランもご案内可能です。

Webアプリケーション診断 プラットフォーム診断 その他
内容 ツール診断 ツール+マニュアル ツール+マニュアル ツール+マニュアル
基本料金 10,000円/リクエスト 20,000円/リクエスト 60,000円/IPアドレス 要お見積もり
対応範囲 Webサイト
Webサービス
API 		Webサイト
Webサービス
API 		社内ネットワーク
ネットワーク機器
サーバ 		クラウド環境
ゲームアプリ など
特徴
  • ・安価に診断可能
  • ・診断期間が短く、手軽に実施可能
  • ・OWASP Top 10に準拠した簡易診断で、最終的に診断員が確認します。
  • ・診断結果はレポートにてご報告します。
  • ・OWASP Top 10やIPAの基準に準拠し、経験豊富な診断員によるマニュアル診断で網羅的に脆弱性を確認します。
  • ・ツール診断のみでは発見が困難な脆弱性も検出可能です。
  • ・診断結果はレポートにてご報告します。
  • ・国際基準に準拠し、経験豊富な診断員によるマニュアル診断で網羅的に脆弱性を確認します。
  • ・ツール診断のみでは発見が困難な脆弱性も検出が可能です。 
  • ・診断結果はレポートにてご報告します。
 診断対象の特性に合わせて、最適なリスク対策プランをご提案します。
ヒアリング
1
ヒアリング
ご希望の診断内容について詳細をお伺いし、お見積りに必要な情報をヒアリングいたします。

具体的な診断内容が決まっていない場合には、当社からのご提案も可能です。

・診断内容
・診断対象(診断範囲)
・診断期間
・予算
お見積もり
2
お見積もり
ご提供いただいた情報から、診断対象の規模感や工数を算出し、御見積書を作成いたします。

※診断実施前にヒアリングシートの記入をお願いしております。
※Webアプリケーション診断において、リクエスト数算出のため、クローリングが必要な場合は別途ご相談ください。
診断実施
3
診断実施
セキュリティエンジニアによる脆弱性診断の実施。自動診断ツールと手動診断を組み合わせて行います。

緊急度の高い脆弱性が発見された場合は、発見から翌営業日までに、速報としてご報告します。
報告書提出
4
報告書提出
検出された脆弱性の「内容、リスク、対策」などをまとめた報告書を提出します。

レポートの作成期間は、診断終了から3営業日が目安となります。
修正確認
5
修正確認
脆弱性診断で検出された脆弱性については、お客様で修正が完了した後、 修正が適切かどうかを確認する「修正確認」を実施します。 修正確認終了後、確認内容をご報告いたします。

※報告会の実施をご希望の場合は、オプションとなりますので、別途ご相談ください。

報告書の内容

CVSS(共通脆弱性評価システム)に基づいたリスク評価を行っています。
対策方法や再現手順を詳細に記載することで、 お客様の修正にかかる時間的コストの削減を目指しています。

指摘事項詳細

  • ・ 脆弱性の説明
  • ・ 影響
  • ・ 対策方法
  • ・ 再現手順
報告書サンプル(詳細)

診断概要

  • 診断対象一覧
  • 診断結果概要
    • ・ 総合評価
    • ・ 総合評価基準
    • ・ 総評
    • ・ 各脆弱性におけるリスクレベル概要
    • ・ 指摘事項一覧
    • ・ 指摘事項一覧(レベル別)

脆弱性診断は、診断対象やシステム構成、診断範囲に応じて、個別にお見積りしています。

「どこまで診断すればよいか分からない」
「まずは現状のリスクを把握したい」

といった段階でも問題ありません。
ご状況をお伺いし、目的に合った診断内容をご提案します。
お気軽にお問い合わせください。

      お問い合わせはこちら     
脆弱性診断のサービス資料は
下記よりダウンロードいただけます。

資料内容

  • 脆弱性診断サービスの詳細
  • 診断の流れ
  • ペネトレーションテストサービスの詳細
  • 脆弱性診断の費用(プラン例)