EC-CUBEセキュリティ診断・スタンダードパック

EC-CUBEセキュリティ診断・スタンダードパック

販売価格:648,000円(税込)

公開日: 2017年2月9日 / 更新日: 2017年2月9日

対応バージョン : 2.11系~3.0系
3.0系 3.0.0|3.0.1|3.0.2|3.0.3|3.0.4|3.0.5|3.0.6|3.0.7|3.0.8|3.0.9|3.0.10|3.0.11|3.0.12|3.0.12-p1|3.0.13
2.13系 2.13.0|2.13.1|2.13.2|2.13.3|2.13.4|2.13.5
2.12系 2.12.0|2.12.1|2.12.2|2.12.3|2.12.4|2.12.5|2.12.6
2.11系 2.11.0|2.11.1|2.11.2|2.11.3|2.11.4|2.11.5

提供: 株式会社ロックオン

商品情報

EC-CUBE開発元ロックオンと、徳丸浩氏率いるHASHコンサルティングの協業により提供するEC-CUBEセキュリティ診断サービス
EC-CUBEをカスタマイズして構築されてたECサイトの脆弱性を洗い出し、レポートの形で報告いたします

ECサイトを運営されている中での心配ごと

ご利用いただくメリット

・ECサイト公開後に脆弱性が見つかった
・セキュリティ面の対応が適切か、自分では判断できない
・脆弱性対策について、制作会社以外に、第三者の意見を聞きたい
・安全性を常に保っておきたいが、最新の施策ができているか不安
・脆弱性を調べたいが、どの箇所を診断したらよいかわからない
・ECサイト全体の診断にはかなり費用がかかる
・ECサイトに脆弱性があるリスクを低減できる
・EC-CUBEの情報に精通した専門家のチェックにより安心できる
・制作会社の対応が適切かどうか含め、公正公平に確認できる
・最新情報もおさえた報告書で、今すべき対応や課題が明確になる
・診断すべきページを10ページ抜粋して診断してもらえる
・コストを抑え必要不可欠な診断のみ実施できる

こんなタイミングにおすすめです

EC-CUBEの脆弱性診断が初めてのお客様、脆弱性への対策も含めた報告書が必要なお客様へ。
新規ECサイト公開前、リニューアル公開前、追加機能の実装直後などのタイミングにご利用ください。


■HASHコンサルティング 代表 徳丸 浩 (とくまる ひろし) 氏


1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
徳丸浩の日記 / Twitter IDは @ockeghem

EC-CUBEセキュリティ診断・スタンダードパック

EC-CUBEセキュリティ診断の特徴

ロックオンとHASHコンサルティング
2社のノウハウを集約

・「EC-CUBE」に特化した、精度の高い診断をご提供いたします
・長年の開発経験や診断経験に基づき、重要箇所を洗い出します
・HASHコンサルティングには、これまで多数の診断を行ってきた実績がございます
 (消費財メーカー、BtoCサービス運営元、ソーシャルゲーム制作会社、NPO法人など)

全項目手診断による高精度診断

・商品詳細やカゴの中など、狙われやすい箇所を重点的に検査します
・各画面・パラメータの診断を、EC-CUBEの開発に精通した熟練技術者が手診断で実施します
 (「プラットフォーム診断オプション」では診断ツールを使用いたします)
・一般的な指摘・対策だけでなく、脆弱性の検証例やサイトの特性に合わせた対策を提案します

分かりやすく詳細な診断レポート

  ※ 「スタンダードパック」 サンプルイメージ (PDF)
  ※ 「リピーターパック」 サンプルイメージ (PDF)
・脆弱性の影響度を中心としたエグゼクティブサマリを納品いたします
・スタンダードパックでは、実被害を想定した危険度判定、再現方法・対策方法も納品します

EC-CUBEセキュリティ診断・スタンダードパック

「EC-CUBEセキュリティ診断」サービス一覧

スタンダードパック

60万円 (税別)
EC-CUBEの脆弱性診断が初めてのお客様・対策も含めた報告書が必要なお客様におすすめです
選定した10ページ相当に対して、実際にEC-CUBEを操作しながら、網羅的な診断を実施して脆弱性を検出します
診断の結果は、フル報告書形式でご提出します

・オプション (オプションのご購入に、スタンダードパックをご購入ください)

(1)プラットフォーム診断オプション 15万円 (税別)
スタンダードパックに加えて、サーバーの状態もチェックしたいお客様におすすめのオプションです
ご指定のIPアドレス(3IPまで)に対し、オプションとしてプラットフォーム診断を実施。インターネット経由で、サーバーに対し、OSやミドルウェアのバージョン・ポート・各種設定・証明書などの状況を診断します
(2)1ページ追加オプション 2万4000円 (税別)
スタンダードパックに含まれる10ページに加えて、ページを追加して依頼されたい場合のオプションです

リピーターパック

30万円 (税別)
過去に診断を実施済みで、微修正した箇所のみ簡易にチェックしたいお客様におすすめです
カスタマイズ箇所から診断箇所を抜き取り、最低限必要な診断項目に絞り込み診断を実施します
診断の結果は、簡易報告書形式でご提出します

EC-CUBEセキュリティ診断・スタンダードパック

スタンダードパックの特徴

・運営中のECサイトへの支障を最小化した、安心・安全な診断
・最新のセキュリティトレンドを踏まえ、常に最新の攻撃手法に対応
・脆弱性の影響に対する適切な判断と、効果的な対策の報告


スタンダードパックでは、実際にEC-CUBEを操作しながら、ECサイト全体の網羅的な診断を実施して脆弱性を検出します
ウェブアプリケーションの脆弱性診断としては、もっとも基本的で、応用範囲の広い方法です
この診断は「OWASP Top10」や「安全なウェブサイトの作り方」に含まれるすべての脆弱性に対応しています

基本料金

60万円 (税別) (10ページまで)

パッケージ内容

診断対象ページ選定 (カスタマイズ箇所から10ページ相当を診断対象ページとして選定)
脆弱性診断 (選定した10ページ相当に対して、網羅的な診断項目にて診断を実施)
報告書 (診断の結果をフル報告書形式でご提出)

対象

EC-CUBEをご利用のお客様
初めて脆弱性診断を実施するお客様
発見された脆弱性への対策方法も含めた報告書が必要なお客様

標準期間

約3週間 (診断実施日~報告書納品まで)

オプション

・「1ページ追加」 2万4000円 (税別)
・「
プラットフォーム診断」 15万円 (税別)
オプションのご購入に、スタンダードパックをご購入ください

お申し込みの流れ

1. 本ページから商品をご購入ください
  お支払方法はクレジットカード、ペイジー決済(銀行ATM支払/ネットバンク支払)がご利用可能です
  ご不明な点がございましたら、こちらよりお問い合わせください
2. ヒアリングシートのダウンロードURLをご案内したメールをお送りいたします
  ヒアリングシートにご記入いただき、ご返送ください
3. ご入金の確認後、EC-CUBEセキュリティ診断の担当よりご連絡いたします
4. 診断実施日などについてご相談いたします
5. 診断実施日から、3週間ほどで報告書を納品いたします
6. 原則3営業日以内にご検収をお願いいたします

お問い合わせ

本サービス利用につきまして、ご不明な点はこちらよりお問い合わせください

こんな方におすすめです

EC-CUBEセキュリティ診断・スタンダードパック

スタンダードパックとリピーターパック 診断項目の比較

    スタンダードパック リピーターパック
パラメータ操作 クロスサイト・スクリプティング
SQLインジェクション
HTTPヘッダ・インジェクション
メールヘッダ・インジェクション
OSコマンド・インジェクション
ディレクトリ・トラバーサル
evalインジェクション
ファイルインクルード攻撃
オープンリダイレクタ
リファラからの情報漏洩
コンテンツ 公開ディレクトリチェック
ディレクトリ・リスティング
強制ブラウジング・不要なファイルの公開
キャッシュ制御
コンテンツ アップロード機能の不備
ダウンロード機能によるXSS
ユーザの意思に反した機能実行 クロスサイト・リクエスト・フォージェリー
クリックジャッキング
SSL設定不備 クロスサイト・リクエスト・フォージェリー
SSL使用状況
クッキーのセキュア属性不備
セッション管理 セッションID使用状況
Cookie使用状況
ログアウト機能
セッションIDの固定化
認証 ユーザー認証処理
アカウントロック機能
自動ログインの不備
アクセス制御・認可 アクセス制御不備
認可不備
アカウント管理 パスワードの仕様
パスワードリマインダの不備
アプリケーション エラー処理状況
ロジック流出
バックドア、デバッグオプションの存在

◎:標準的で網羅的な検査 ○:簡易的な検査 △:リモートでは診断が難しいもの

お申し込みの流れ

1. 本ページから商品をご購入ください
  お支払方法はクレジットカード、ペイジー決済(銀行ATM支払/ネットバンク支払)がご利用可能です
  ご不明な点がございましたら、こちらよりお問い合わせください
2. ヒアリングシートのダウンロードURLをご案内したメールをお送りいたします
  ヒアリングシートにご記入いただき、ご返送ください
  ご入金の確認後、EC-CUBEセキュリティ診断の担当よりご連絡いたします
3. 診断実施日などについてご相談いたします
4. 診断実施日から、3週間ほどで報告書を納品いたします
5. 原則3営業日以内にご検収をお願いいたします

EC-CUBEセキュリティ診断・スタンダードパック

よくあるご質問

Q1. 他サービスとの違いは?

A1. 「EC-CUBEセキュリティ診断」は、EC-CUBEをカスタマイズして構築されたECサイトに脆弱性がないか確認する、技術的な検査を実施されたい方に向けて、安心して定額でご利用いただける診断サービスをご提供する目的でスタートいたしました。
EC-CUBE開発元のロックオンと、長年の診断経験を持つHASHコンサルティングの知見を活かした、手動診断による正確な診断と、簡潔明快な報告書が特徴です。

Q2. 診断作業時の悪影響はどんなものがあるか?

A2. 手動診断が主であること、負荷をかけないツール設定を実施しているため、診断対象となるECサイトの「負荷」はそれほどありません。
なお、ECサイトに更新処理が発生するため、データベース内に無駄なレコードが残ったり、ECサイトが遅くなることがあります。最悪のケースでは、データベースが破壊される可能性が有ります。弊社ではこれらの影響を最小限に抑えるために、ウェブアプリケーションに対しては手動診断を実施しています。
このため、診断用のテスト環境やステージング環境での診断をお勧めしますが、本番環境を診断する場合は、事前のバックアップを確実に実施してください。

Q3. スタンダードパックとリピーターパックの違いは?

A3. スタンダードパックでは、お客様のサイト構成に併せ、主要な10ページを抜き取り、それらを対象に、弊社が想定する全項目の診断を実施します。
リピーターパックは、既にスタンダードパックをご利用されたことがある方が、リニューアルや機能追加などのタイミングで、再度診断を希望する場合に特化した内容としてご提供しており、スタンダードパックよりは精度は下がります。
初回は、スタンダードパックをご利用ください。

Q4. 診断は具体的にはどのように実施するのか?

A4. 原則としてリモートでの診断を実施いたします。一般利用者や外部からの攻撃者と同じ目線で、HASHコンサルティングのオフィスからインターネットを経由して貴社ECサイトへアクセスし、様々な文字列を送信することにより診断いたします。

Q5. サイトの全てのページを診断してほしいのだが?

A5. スタンダードパックは10ページまでとなっておりますが、追加ページをお申し込みいただくことは可能です。ご予算に限りのある場合、サイト構成を確認の上、優先度の高いページをご提案することも可能ですので、まずはご相談ください。

Q6. 診断は定期的に実施しなければならないか?

A6. 基本メニューであるスタンダードパックにつきましては、新たな攻撃手法が見出される可能性は低いため、EC-CUBE自体のバージョンアップがなければ、定期的な診断は不要です。EC-CUBEのバージョンアップにあわせてサイトを改修される際には、改修箇所を中心に、再度診断されることをおすすめいたします。
スタンダードパック+プラットフォーム診断オプションの組み合わせについては、既知の脆弱性が日々発見されますので、定期的な診断をおすすめいたします。

PAGE TOP

EC-CUBEセキュリティ診断・スタンダードパック 648,000円(税込)

PAGE TOP