アプリケーション脆弱性診断 — Web・スマホアプリ検査
手動診断と自動化ツール、
開発体制に合わせて選べる。
Webアプリ・スマホアプリの脆弱性診断を、専門家による手動診断と継続開発向けの自動化ツールから最適にご提案。リリース前のスポット診断から、毎日リリースする開発体制まで対応します。
福岡・九州の中小・中堅企業の開発体制に応じて、手動診断とDevSecOps向けツールを使い分けてご提案します。
.ISSUE
こんな課題はありませんか
開発スピードと安全性、両立できていますか?
リリース前の最終確認が必要
新規サービス・大規模改修後の安全性を第三者目線で確認したい
継続的にリリースしている
毎週・毎日リリースする体制では、都度の手動診断は現実的でない
業務ロジックの欠陥が不安
価格改ざんや認可バイパスなど、自動では見つからない欠陥が心配
取引先・監査から要求された
第三者による診断レポートを提出する必要がある
.WHAT
アプリケーション脆弱性診断とは
開発体制に応じて、最適なアプローチを選ぶ
アプリケーション脆弱性診断は、Webアプリ・スマホアプリ・APIに対する脆弱性検出サービスです。ソフネットでは、専門家による「手動診断」と、継続開発向けの「自動化ツール」の2つの提供形態をご用意。お客様の開発スピードと予算に応じて最適な組み合わせをご提案します。
アプリ診断が提供する価値
DISCOVERY
脆弱性の発見
深い欠陥から定型まで
REPORT
詳細な診断報告書
対策方法まで明示
PROOF
第三者の証跡
監査・取引先要件に対応
.OFFERINGS
2つの提供形態
お客様の開発体制に応じて、選べる2つの形態
リリース頻度や予算、求める診断深度に応じて、手動診断と自動化ツールを使い分けます。両者を組み合わせて運用することも可能です。
専門家による手動診断
セキュリティ専門家が攻撃者視点で実施。業務ロジック欠陥や複雑な権限不備まで、自動では見つけられない深い脆弱性を発見します。
新規リリース・大規模改修前の確認
業務ロジックの複雑なアプリ
取引先・監査向けの証跡が必要
スポット / 1〜3週間 / 高精度
継続開発向け自動化ツール
CI/CDパイプラインに組み込み、コード変更・リリースごとに自動診断。継続的な開発体制でも、セキュリティ品質を維持できます。
週次・日次でリリースする開発体制
アジャイル・DevSecOpsを推進中
複数アプリを継続的に開発
継続実施 / CI/CD連携 / 広範囲
「自動 + 手動」の組み合わせが現実解。普段はCI/CDに組み込んだ自動化ツールで継続監視し、大規模改修やリリース前の節目に手動診断で深く確認する組み合わせが、コストと精度のバランスを取る現実解です。
.MANUAL
手動診断の詳細
専門家が「攻撃者の視点」で深く掘り下げる
Webアプリ
ECサイト・業務システム・会員サイト・管理画面など
スマホアプリ
iOS / Androidネイティブアプリ、通信・ローカルデータ含む
Web API
REST / GraphQL APIの認可・認証・データ処理を診断
MAIN CATEGORIES — 主要な診断カテゴリ(OWASP Top 10ベース)
認証・認可の欠陥
ログイン・権限管理の不備、セッション管理
インジェクション
SQLi、XSS、コマンドインジェクションなど
セキュリティ設定ミス
サーバー設定・暗号化・HTTPヘッダー
機密データの露出
暗号化不備、不要な情報露出
業務ロジックの欠陥
価格改ざん、決済バイパスなど
依存ライブラリの脆弱性
古いライブラリ・既知CVE
.AUTOMATION
継続開発向け自動化ツール
開発スピードと安全性を両立する、DevSecOpsの実装
継続的にアプリケーションを開発・改修する企業向けに、CI/CDパイプラインに組み込む自動化ツールのご提供も可能です。コード変更・リリースのたびに自動診断が走り、開発の流れを止めずにセキュリティ品質を維持します。
DEVSECOPS PIPELINE — 開発フローに組み込む自動診断
01
CI/CDパイプラインに統合
GitHub Actions・GitLab CI・Jenkinsなど、お客様の既存パイプラインに組み込み。リリースの流れを止めずにセキュリティ診断を実施。
02
早期発見・早期修正
コード変更直後に脆弱性を検出。本番デプロイ前に開発者へ即座にフィードバックすることで、修正コストを大幅に削減します。
03
SAST + DAST のカバー
静的解析(SAST)と動的解析(DAST)を組み合わせ、コードレベルと実行時挙動の両面から脆弱性を網羅。SCA(依存ライブラリ診断)も対応。
04
開発者フレンドリーな運用
Slack・Teams・Jiraと連携し、開発者の慣れたツールで通知。セキュリティチームに頼らずに、開発チームが自律的に対応できる体制を構築。
ツール選定から運用までトータル支援。主要なDevSecOpsツール(SAST / DAST / SCA)の中から、お客様の環境・予算・開発スタイルに最適な製品をご提案。導入後の運用設計・チューニングまでサポートします。
.REPORT
納品物
手動診断の納品物 — 対策まで具体的に示すレポート
REPORT STRUCTURE — レポート構成
SECTION 1
エグゼクティブサマリ
経営層向けの結論・リスク総評
SECTION 2
脆弱性一覧
深刻度別・カテゴリ別の整理
SECTION 3
各脆弱性の詳細
再現手順・影響範囲・スクリーンショット
SECTION 4
具体的な対策案
コードレベルでの修正例も提示
SEVERITY LEVELS — 深刻度ラベル
Critical — 即時対応必要
High — 早急に対応
Medium — 計画的に対応
Low — 改善推奨
再診断オプションあり。診断後、お客様が対策を実施した結果を確認する「再診断」もご用意。脆弱性が確実に修正されたことを第三者として証明します。
.FLOW
診断の流れ
ヒアリングからレポート納品まで、4ステップ
STEP 01
ヒアリング
対象アプリ・開発体制・目的を確認
STEP 02
形態の選択
手動・自動・組み合わせを決定
STEP 03
診断実施
手動診断 or ツール導入・実行
STEP 04
報告・運用
レポート納品・対策方針の説明