[新製品・サービス]

2022年12月27日(火)IT Leaders編集部

リスト

　JTPの「Webアプリケーション脆弱性診断サービス」は、インターネット経由でWebアプリケーションの脆弱性をリモート診断し、レポートを提出するセキュリティサービスである。自動診断ツールと手動診断を組み合わせることで、問い合わせから診断レポート提出までを短期間かつ低価格で提供するとしている。

　Webアプリケーション上の脆弱性を検出して分析し、Webアプリケーションのバグやセキュリティ上の問題を検出する。これにより、マルウェアの感染や機密情報の漏洩などを防止する。日本語レポートやコンサルティングを提供し、専門用語などをフォローする。以下は、Webアプリケーション脆弱性診断サービスの主な診断項目である。

インジェクション

SQLインジェクション

コマンド・インジェクション

CRLFインジェクション

クロスサイト・スクリプティング

パス・トラバーサル

認証・認可

認証回避

過度な認証試行に対する対策不備

脆弱なパスワードポリシー

復元可能なパスワード保存

パスワードリセット不備

認可制御の不備、欠落

セッション管理

ログアウト機能の不備や未実装

セッション・フィクセイション

推測可能なセッションID

クロスサイト・リクエスト・フォージェリ

情報漏洩

Cookieセキュア属性

Cookie HttpOnly属性

パスワード管理不備

HTTPSの不備

不要な情報の存在

ソフトウェア設定

ディレクトリ・リスティング

不要なHTTPメソッド

既知脆弱性

フレームワークやライブラリの脆弱性

その他

ファイルアップロードに関する不備

オープンリダイレクト

クリックジャッキング

　JTPは2021年12月に、内部脅威への対策として証跡管理サービス「Proofpoint ITM for Cloud」をリリース。その後もマネージドセキュリティサービスや、フィッシングメール対策と教育コンテンツを合わせたセキュリティ教育サービス「PSAT」などを提供してきた。2022年9月には、外部脅威への対策として、OS、ミドルウェア、ネットワーク機器などが対象の脆弱性診断「プラットフォーム診断サービス」を提供している。