ホワイトボックス診断

アプリケーション（Web/スマートフォン/一般）やライブラリのソースコードやリソースを分析し、セキュリティ上の意味を持つ事象（脆弱性）を精緻かつ網羅的に探索しリスクを評価します。

把握した個々の脆弱性は全て詳細に解析した上で国際基準 (CVSS 3) によるリスク評価を行ない、分かりやすい再現例および対策を立案した上でご報告いたします。

また、リスクが高いと考えられる脆弱性については報告書の完成を待たずに一早くお伝えいたします。

サービス特徴

対象のソースコードに対し業界標準のツールによる自動診断と幅広い開発経験を持つエンジニアによる手動診断を併用して脆弱性を探索しリスク評価を行ないます。ソースコードを直接分析するので暗号系における脆弱性や監査ログ不備など、トリガ条件が複雑であったり外部からの把握が困難な問題であっても精緻に検出できる特徴があります。また同じ理由から、実行環境の整備が困難な対象においても問題なく診断が実施できます。診断においては業界標準の各種解析ツールの他、対象の性格によりツールを適宜作成します。

ハッカーチームによる深く精緻な診断

複雑なコードを正しく分析検証するにはハッカークラスの高いスキルと創造性が要求されます。Secure Hattersでは、国内外CTFで入賞実績を持つハッカークラスのエンジニアを中心にチーミングを行います。

一部開示・特殊視点でも診断可能

Secure Hattersの診断において全体を開示していただく必要はありません。一部開示であっても（精度は若干犠牲になるものの）診断可能です。そのため例えばアジャイル形式の開発現場において、イテレーションレビューへ一部開示による診断を組み入れるというような使い方もできます。またご要望に応じて、特殊視点による診断 (レースコンディション解析など) も行なえます。

広い対応範囲

Secure Hattersのエンジニアは全て診断だけでなく開発にも精通しているため、プラットフォーム・開発言語・開発手法が問題になることはまずありません。ネイティブアプリケーション（Python/Ruby/PHP/C#/F#/Java/Kotlin/Swift/Go/Rust/Haskellを含む）のほかJavaScript/TypeScript/CoffeeScriptなどによるHTML5 Applicationはもちろん、Solidity/Clojure/Unity Script/ActionScript 1〜3/Visual Basic/COBOL/FORTRANなどで書かれたアプリケーションであっても深いレベルの分析および診断ができます。

世界レベルの脆弱性診断基準

Secure Hattersが提供する診断サービスは経済産業省「情報セキュリティサービス基準」に準拠しています。また脆弱性診断基準はOWASP Top 10などが提供する視点を取り入れつつ継続的に見直しています。OWASPとはサイバーセキュリティ向上を目指す慈善的非営利団体で、Webなど各領域における国内外のセキュリティ研究者が最善の集合知を提供しています。このため、Secure Hattersの診断では脆弱性は世界レベルの基準に基づいてより公正に評価されます。

診断項目

ホワイトボックス診断における診断項目は、Webアプリケーション診断・Web API診断・一般アプリケーション診断・スマートフォンアプリケーション診断の各診断における項目を全てカバーします。冗長になるため各診断の項目をご覧ください。

診断フロー