Webアプリケーション脆弱性診断
DAST(動的診断)・SCA(ソフトウェア構成分析)・IAST(インタラクティブ診断)の3つのアプローチで、Webアプリケーションのセキュリティリスクを多層的に検出。OWASP Top 10 準拠の網羅的な診断で、脆弱性を徹底的に洗い出します。
サービスについての
お問い合わせはこちら
お問い合わせはこちら
Webアプリケーション脆弱性診断サービス
3つのアプローチで、Webアプリケーションのセキュリティリスクを多層的にカバーします
DAST
動的アプリケーション セキュリティ テスト
OWASP ZAPを使用し、稼働中のWebアプリ/Web APIに対して外部から擬似攻撃を実行。クロスサイトスクリプティング、SQLインジェクション等の脆弱性を検出します。
SCA
ソフトウェア構成分析
OSSライブラリとその依存関係を解析し、既知の脆弱性(CVE)を検出。PHP / JavaScript / Java / Python / Ruby の主要言語に対応しています。
こんなお悩みはありませんか?
Webアプリケーションをリリースしたいが、セキュリティ面の不安がある。どこまで診断すべきかわからない。
脆弱性診断を実施したいが、国内ベンダーの見積もりが高額で、定期的な診断実施が難しい。
診断後のレポートが専門的すぎて、開発チームがどう修正すべきかわからない。改修支援もしてほしい。
コウェルの脆弱性診断なら
ベトナムオフショアの強みを活かした、高品質かつコスト競争力のあるセキュリティ診断
Point
01
クラウド環境で迅速に診断可能
VPN接続やオンプレミスの環境構築が不要。クラウドベースの診断基盤を活用し、最短5営業日で診断レポートを納品します。OWASP ZAPによるDASTは、SPA(Single Page Application)にも対応しています。
Point
02
情報処理安全確保支援士によるプロフェッショナル分析
情報処理安全確保支援士(登録セキスペ)が診断結果を精査。自動ツールの出力をそのまま渡すのではなく、誤検知の除外・リスク評価・具体的な改修提案を含むプロフェッショナルレポートを作成します。
Point
03
コスト競争力のある価格設定
ベトナムオフショアの活用により、国内大手ベンダーと比較してコストを抑えた診断サービスを提供。コスト面のハードルを下げることで、定期的なセキュリティ診断の実施を実現します。
脆弱性の検出だけでなく、改修支援までワンストップで
コウェルは脆弱性診断だけでなく、オフショア開発チームによる改修支援もご提供可能です。診断で見つかった脆弱性の修正を、そのまま弊社開発チームにお任せいただくことで、セキュリティ対応のスピードを大幅に向上させます。
DAST — 動的アプリケーションセキュリティテスト
Dynamic Application Security Testing
OWASP ZAPを使用し、稼働中のWebアプリケーション / Web APIに対して外部から擬似攻撃を実行する「ブラックボックス型」の脆弱性診断です。攻撃者の視点からアプリケーションを検査し、実際に悪用可能な脆弱性を検出します。
診断ツール | OWASP ZAP(Zed Attack Proxy) |
|---|---|
診断対象 | Webアプリケーション / Web API(REST, GraphQL対応) |
対応範囲 | SPA(Single Page Application)対応可能 |
調査対象URL数 | 100URL 上限 |
検出可能なリスク(10項目)
クロスサイトスクリプティング(XSS)
SQLインジェクション
OSコマンドインジェクション
パストラバーサル
外部リダイレクト
脆弱なJSライブラリの使用
Cookieセキュア設定不備
Cookieポイズニング
クリックジャッキング対策不備
OpenSSLハートブリード脆弱性
診断プラン
シンプル
自動診断レポート
15万円~(税別)
- OWASP TOP10 準拠の自動診断
- SPA(Single Page Application)対応
- 診断報告書の納品
- 納期:5営業日
エントリー
プロフェッショナルレポート
30万円~(税別)
- シンプルプランの全内容
- 情報処理安全確保支援士による精査
- プロフェッショナルレポート(解決策明記)
- 納期:10営業日
カスタム
個別診断
個別見積もり
- 情報処理安全確保支援士による個別診断
- お客様の要件に合わせたカスタム診断
- 詳細な改修提案付きレポート
- 納期:個別相談
SCA — ソフトウェア構成分析
Software Composition Analysis
アプリケーションが使用しているオープンソースソフトウェア(OSS)ライブラリとその依存関係を解析し、既知の脆弱性(CVE)を検出します。利用しているOSSに潜むリスクを可視化し、安全なソフトウェアサプライチェーンの維持を支援します。
診断対象 | OSSライブラリおよびその依存関係(推移的依存関係を含む) |
|---|---|
ソースコード上限 | 100MB |
脆弱性データベース | NVD(National Vulnerability Database)/ GitHub Advisory Database 等 |
対応言語 / パッケージマネージャ
言語 | パッケージマネージャ | 必要ファイル |
|---|---|---|
PHP | Composer | composer.lock |
JavaScript | Npm | package-lock.json |
JavaScript | Yarn | yarn.lock |
Ruby | Gem | gemfile.lock |
Java | Maven | pom.xml + mvn dependency:list 出力 |
Java | Gradle | build.gradle + gradle dependencies 出力 |
Python | Pip | requirements.txt + pip list 出力 |
料金プラン
SCA単体
SCA診断のみ
10万円~(税別)
- OSS脆弱性(CVE)の網羅的検出
- 推移的依存関係を含む解析
- 診断報告書の納品
DAST+SCAセット
多層診断パック
5万円~(税別)
- DAST診断と同時申込で半額以下
- OSS脆弱性 + Webアプリ脆弱性を同時にカバー
- 統合レポートで効率的に対策可能
- NEW SERVICE
IAST — インタラクティブアプリケーションセキュリティテスト
アプリケーション内部からリアルタイムで脆弱性を検出する、次世代のセキュリティテスト手法
IASTとは
Interactive Application Security Testing
アプリケーション内部に診断エージェントを組み込み、テスト実行中にコード実行とデータフローをリアルタイムで監視する診断手法です。DASTの動的視点とSAST(静的解析)のコード視点を組み合わせた「ハイブリッド型」のアプローチにより、外部からは検出困難な内部ロジックの脆弱性も、誤検知を抑えながらコードレベルで特定できます。
テスト方式 | アプリケーション実行時にエージェントが内部からデータフロー・コード実行を監視 |
|---|---|
検出タイミング | テスト・QA工程でリアルタイムに検出(DAST比:待ち時間ゼロ) |
誤検知率 | 非常に低い(実際の実行コンテキストで検証するため、Forrester調査で最大70%削減) |
OWASP対応 | OWASP対応: OWASP Top 10 2021 のうち 8項目に対応 ※ A04:2021 安全でない設計 および A09:2021 セキュリティログと監視の不備 は、実行時動的検査の特性上 IAST の対象外 |
CI/CD統合 | 開発パイプラインにシームレスに統合可能 |
IASTの4つのメリット
検出可能な脆弱性(OWASP Top 10 対応)
A04:2021 安全でない設計 および A09:2021 セキュリティログと監視の不備 は、実行時動的検査の特性上 IAST の対象外となります
A01: アクセス制御の不備
A02: 暗号化の失敗
A03: インジェクション(SQL / XSS / コマンド)
A04: 安全でない設計
A05: セキュリティの設定ミス
A06: 脆弱で古いコンポーネント
A07: 識別と認証の失敗
A08: ソフトウェアとデータの整合性の不具合
A09: セキュリティログと監視の不備
A10: サーバーサイドリクエストフォージェリ(SSRF)
対応フレームワーク / 言語
Java / Spring
Java / Jakarta EE
.NET /ASP.NET
Node.js / Express
Python / Django
Python / Flask
Ruby / Rails
Go
PHP / Laravel
※ 対応状況はお客様の環境により異なります。詳細はお問い合わせください。
お客様の環境に合わせて最適なプランをご提案いたします
IAST診断は、お客様のアプリケーション環境・技術スタック・規模に応じて最適な構成をご提案します。
まずはお気軽にお問い合わせください。
DAST / SCA / IAST 比較表
3つの診断手法の特徴を比較し、お客様に最適な組み合わせをご提案します
比較観点 | DAST | SCA | IAST NEW |
|---|---|---|---|
テスト方式 | 外部からの動的テスト | 依存ライブラリ解析 | 実行時に内部から監視 |
診断対象 | Webアプリ / Web API | OSS / ライブラリ | アプリケーション実行環境 |
検出精度 | 中 | 高 | 非常に高い |
誤検知率 | やや高い | 低い | 非常に低い |
コードレベルの特定 | ✕ 不可 | △ ライブラリ単位 | ✓ 行番号まで特定 |
実行時コンテキスト | ✓ あり | ✕ なし | ✓ あり |
CI/CD統合 | 可能 | 容易 | 容易 |
OWASP Top 10 対応 | ✓ | △(A06に特化) | ✓(A04,A09を除く) |
おすすめ用途 | リリース前の外部診断 | OSS脆弱性管理 | 開発・QA工程での継続的監視 |
Webアプリケーションの脆弱性診断、
まずはお気軽にご相談ください
DAST・SCA・IASTの3つの診断手法から、お客様の環境に最適な組み合わせをご提案します。
診断後の改修支援まで、ワンストップでサポートいたします。
関連サービス
LLM脆弱性診断
プロンプトインジェクションから過剰な自律性まで。LLMアプリ固有の脆弱性を、OWASP LLM Top 10 2025 準拠で診断。
WEBアプリケーション脆弱性診断
DAST・SCA・IASTの3手法を組み合わせた多層診断で、稼働中のWebアプリケーション/Web APIに潜む脆弱性を徹底的に検出し、改修支援までワンストップで対応します。
スマホアプリ診断
iOS/Androidアプリを静的解析・動的解析・リバースエンジニアリング耐性テストの3アプローチで診断し、OWASP Mobile Top 10 2024に準拠した網羅的なセキュリティ評価を提供します。
クラウドプラットフォーム診断
AWS・Azure・GCPの設定不備・IAM権限・アクセス制御を専門エンジニアが診断し、クラウドインフラに潜むセキュリティリスクの可視化と最適化を支援します。
ミドルウェア診断
WordPress・Drupal・Movable Type・Joomla・ShareWith・AEMの主要CMSに特化した専門診断で、プラットフォーム固有の脆弱性と設定不備を確実に検出します。
AIホワイトハッカー診断
AIと熟練ホワイトハッカーを組み合わせた第3世代診断「ImmuniWeb®AI Platform」で、OWASP・NIST・PCI DSSなど国内外のガイドラインに準拠した高精度なセキュリティ評価をゼロ誤検知保証で提供します。
エンジニア不足でお悩みの企業様は
お気軽にご相談ください
お気軽にご相談ください
不明点について
相談がしたい
相談がしたい
コウェルのソリューション
がわかる
がわかる
Copyright © 2025 CO-WELL Co., LTD. All rights reserved.