はじめに

みなさん、こんにちは
Hinemos製品チームです。

今日は、以前投稿したHinemosセキュリティオプションへ新たに追加された
Hinemosアプリケーション診断オプション
について、ご紹介したいと思います。

このオプションは、Hinemosサブスクリプションをご契約いただいたお客様で、Webアプリケーションを導入される方に対して、セキュリティの問題点はないかを明確にする診断オプションとなります。

導入を検討する上で、1つのきっかけとなればと思います。
よろしくお願いします。

「Hinemosアプリケーション診断オプション」とは

Hinemosアプリケーション診断オプションとは、
Hinemosが提供するサービス・メニューの中にある「Hinemosセキュリティオプション」の中で新たに追加された診断オプションです。

他2つのオプションについては
【Hinemos】Hinemosセキュリティオプションについて
で紹介しております。

診断内容

HTTP/HTTPS通信が可能なインターネットに公開されているWebサイトを検査し、セキュリティの脆弱性を洗い出します。
Webアプリケーションが診断対象で、外部ネットワークからアプリケーションを診断します。

診断結果報告

診断結果の報告内容としては、影響の評価・改善策について提示します。

診断回数

診断の頻度に関しては、定期的な診断として1年間に2回診断することが可能です。
※1回の診断で上限となる画面数は50画面までとなります。

診断フロー

診断フローは以下の通りです。

「Hinemosアプリケーション診断オプション」が対応する脅威と脆弱性例

Hinemosアプリケーション診断オプションが対応する脅威と脆弱性例について以下に記載します。

脅威例

  • 権限のないデータの表示やアクセス
  • ユーザのIDやパスワード、セッション情報などの漏洩
  • 任意のシステムコマンド実行によるシステム乗っ取り
  • セッション情報の漏洩によるセッションハイジャック
  • メール配送の遅延や踏み台にされる事による信用失墜
  • DB内データの改ざん・消去

脆弱性例

  • パラメータ値の妥当性チェック不足
  • パラメータ値の不正取得
  • Webアプリケーションのバグ
  • クロスサイトスクリプティング
  • メール機能の悪用
  • クエリー文操作によるDBへの不正アクセス

最後に

いかがでしたでしょうか?Hinemosを導入するきっかけの一つとなれば幸いです。
Hinemosの機能や利用方法・導入・費用について、より詳しい説明をご希望の方はお気軽にお問合せ下さい。

お問い合わせはこちら📩

Hinemosの技術記事はこちらをご覧ください!

投稿者プロフィール

技術チーム
技術チーム
DBひとりでできるもんを盛り上げるべく、技術チームが立ち上がり早6年。ひとりでできるもんと言いつつ、技術者が読んでプッとなるような、極めてピンポイントでマニアックな技術ネタを執筆しています!