ポータルサイト構築・集客のナレッジ発信中!

WEBシステムの
セキュリティ対策診断

攻撃者より先に、弱点を見つける。

セルバの脆弱性診断は、
ツール×手動(ホワイトハッカー)のハイブリッドで、
Web/モバイル/クラウド/ネットワーク
横断チェック。

OWASP・ASVS・CISなど国際基準に準拠し、
再現手順・影響・推奨対策まで一気通貫で
ご提供します。

ご相談はこちらから

こんなお悩みはありませんか?

  • どの範囲を診断すべきか、診断箇所と
    深度が決められない
  • ツールだけの自動診断では誤検知や
    見落としが不安
  • 開発スケジュールを遅らせず
    診断・是正まで回したい
  • レポートが難解で開発者に伝わらない
    社内説得が進まない

事前ヒアリングで資産棚卸と
優先度付け→最小コストで最大リスク低減
ツール+手動で、
機械検知と人手の攻撃シナリオを両立
リリース計画と連動した段階診断
(ライト→スタンダード→再診)
再現手順・影響・修正例・テスト観点まで
書かれたレポートで即改善

サービス

  • 1. Webアプリ/API脆弱性診断

    対象:Webサイト、管理画面、REST/GraphQL API、EC・予約・会員基盤
    基準:OWASP Top 10/ASVS
    特⻑:認証・権限、入力値検証、BFF/API連携、CSRF・XSS・SQLi等をツール×手動で精査。
    レポートは開発者が直せる粒度で提示。

  • 2. モバイルアプリ(iOS/Android)診断

    動的+静的解析(フル)/動的中心(ライト)
    端末内保護、改ざん耐性、通信保護、外部連携の秘密情報漏えいを確認。
    リバースエンジニアリングによる検査にも対応。

  • 3. クラウド/プラットフォーム診断

    対象:AWS/Azure/GCP、コンテナ/Kubernetes、M365/Google Workspace、Salesforce ほか
    基準:CIS Benchmarks/ベストプラクティス
    特⻑:過剰権限、公開設定ミス、鍵管理、ネットワーク境界を設定+設計両面でチェック。
    オプション:ペネトレーションテスト/ソースコード診断/SOC運用・インシデント対応設計

強み

1.ツール×手動の“いいとこ取り”

自動スキャンで網羅性と速度を担保しつつ、
手動診断で論理欠陥・権限不備・ビジネスロジック攻撃を掘り下げ。
誤検知の整理も含め、改修優先度が明確になります。

2.“直せる”レポートと無償再診(1回)

CVSS評価・影響範囲・再現手順・推奨修正・テスト項目をセットで提示。
初回改修後は無償再診(1回)でクローズを確認します。

3.開発を止めない進行管理

要件変更やリリース直前でも、機能別・リスク別に分割診断
CI/CDにスキャン自動化フックも実装支援し、継続的セキュリティを内製化します。

事例

  • CASE 01|求人ポータルサイト(Webアプリ/API診断)

    目的
    応募者情報(個人情報)を扱うため、登録・応募フローの脆弱性を可視化し漏えいリスクを低減
    実施内容
    • OWASP Top 10/ASVSを基準に、ツール+手動のハイブリッド診断(認証・権限昇格・多要素認証周りを重点)
    • REST API(/users、/jobs、/entries)のIDOR検査、JWT失効/リフレッシュ運用の確認
    • 管理画面のRBACテスト、S3バケット/CloudFront署名URLの存在と寿命検証、CSP/セッション属性設定項目
    • 発見事項の再現手順・影響・推奨修正を添えたレポート+修正レビュー、再診断(無償範囲)

  • CASE 02|ECサイト(決済連携/クラウド設定診断)

    目的
    カード情報非保持の前提で決済トークン連携とクラウド設定の誤りを排除、改ざん・不正注文を抑止
    課題
    Webhook検証の欠落、決済結果の業務パラメータ改ざん、WAF/ACLの穴、在庫更新APIのリプレイ耐性不足
    実施内容
    • Webアプリ診断+クラウド設定診断(AWS/CISベンチ)+ネットワーク外部侵入テスト
    • 決済Webhookの署名検証・時刻ずれ・リプレイ検出、在庫/価格更新APIのHMAC署名とnonce導入を提案
    • WAFルール/Rate Limit、ALB公開ポート、IAMロールの過剰権限、S3公開設定を精査し是正計画を作成
    • 改ざん検知(SRI/CSP)と管理画面IP制限、BOT/クレカアタック対策の実装案を提示

  • CASE 03|趣味コミュニティサイト(SNS機能/リアルタイム通信診断)

    目的
    投稿・DM・イベント募集などのユーザー生成コンテンツを安全化し、荒らしとアカウント乗っ取りを抑止
    課題
    画像アップロードのMIME/EXIF処理不備、DMのStored XSS、WebSocket認証の更新切れ、Rate制御なし
    実施内容
    • 投稿/コメント/DM/通知の入力・出力エンコード網羅テスト、画像サニタイズと拡張子偽装対策(Magic Number判定)
    • WebSocketのトークン再認証とロール権限検証、メッセージ送信のレート制限・CAPTCHA導入案
    • パスワード再設定/メールリンクのワンタイム性・有効期限検証、CSRF SameSite/Lax設定を確認
    • インシデント対応手順(凍結・ログ保存・照会対応)と監査ログ(誰が何をいつ)設計を整備

付帯ドキュメント
(各案件共通で納品)

  • 診断計画書(範囲・深度・前提/スケジュール)
  • 資料一覧(CVSS、再現手順、影響、修正パッチ例、優先度)
  • 是正確認書・再診断結果・恒久対策チェックリスト
  • 運用ルール策定(権限/RBAC、鍵・トークン管理、改修時の回帰診断ガイド)
  • ポイント:すべてツール診断+手動診断の二段構え。
    基準はOWASP Top 10/ASVS/CIS Benchmarksに準拠し、
    報告〜修正支援〜再診断(無償範囲)まで一気通貫で伴走します。

※上記は代表的な取り組み内容の例です。
実数値・詳細は個別にご提示します。

まずは無料相談! 事例の非公開詳細もご案内します。

よくある質問

Q 診断範囲はどう決めますか?
A ユーザー情報の有無、公開可否、変更頻度から資産棚卸→優先度付けを行い、ライト/スタンダード/プレミアムの組合せをご提案します。
Q どれくらいの期間が必要ですか?
A 規模により変わります。小〜中規模Webなら短期で、モバイル・クラウド併用は順次フェーズに分解して実施します。
Q 開発リソースが足りません。対策まで支援可能?
A 可能です。修正設計レビュー/パッチ適用支援/再テストまで伴走します。
Q ツールだけの診断と何が違いますか?
A 手動で権限昇格・ロジック不備・多段攻撃を再現。誤検知の整理とビジネス影響評価まで実施します。
Q 費用感は?
A 対象数・深度で変動します。まずは現状を伺い、範囲・項目・工数内訳を明示してお見積りします。

ポータルサイト構築費用やCMS開発の価格についても、
お気軽にご相談ください

無料相談受け付け中

“攻撃は待ってくれない。だから、先に動く。”
無料相談・お見積り:診断サンプルレポートと最適プランをご案内します。

関連サービス

ポータルサイトの仕様作成・要件定義

ビジネス要件からUX・SEO・セキュリティまでを一体設計。RFP・要件定義書・仕様書を開発に渡せる粒度で作成し、手戻りとコストを最小化。100サイト超の構築実績をもとに、ポータルサイト特化の要件定義を支援します。

ポータルサイトの企画・集客支援

戦略立案からUX設計・SEO・計測設計まで一気通貫で支援。事業ゴール起点のKGI/KPI設計とチャネル統合で集客とCVを両立。GA4・広告・SNSを連携し、短期の成果と長期のブランド価値を同時に高めるポータルサイト企画を実現します。

補助金・助成金申請支援

ものづくり補助金・中小企業新事業進出補助金・IT導入補助金を前提に、制度選定から事業計画書作成、申請、実行、報告まで一気通貫で支援。要件定義・見積の妥当性を担保し、採択率とROIを高める開発計画を実現します。