自社で開発をしたシステムのセキュリティなどをチェックしてくれるものを想定しています。
ご存知の方がいましたら教えてください。
http://www.hitachi-system.co.jp/security/index.html
日立システムのセキュリティ診断
価格例 診断対象5IP(リモート・基本診断) 378,000円~ (税抜 360,000円~)
どの程度の診断するかによります。
本格的に調査する場合、プログラムの
仕様を一部開示する必要があります。
1.ポートスキャンレベル
自分で独自診断
http://www.stackasterisk.jp/tech/systemManagement/nessus01_01.js...
http://grc.com/x/ne.dll?bh0bkyd2
http://www.watch.impress.co.jp/internet/www/article/2001/0813/se...
2.アタックテストレベル
http://www.fsas.fujitsu.com/network/net_so/secu_consult/
http://www.sainet.or.jp/security/
http://business.rakuten.co.jp/sr-net/019698
http://www.toshiba-sol.co.jp/ccc/nsd/sec/p001.htm
3.本格的
http://www.iriskmanage.com/audit/index.html
http://www.nri-secure.co.jp/service/assessment/
http://www.unisys.co.jp/security/
==================================================
情報セキュリティマネジメントシステム(ISMS)
確かにどこまでやるか、ですね。
それにしても質問のしかたが悪かったですね。ソースを渡して、ソースレベルでの検証を想定していましたが、普通に考えるとそれはナシですもんね。。
まだまだ回答お待ちしてます。
Webアプリ単位の診断ならWebInspectというツールがありますよ。
発見可能な脆弱性
以下のWebアプリケーションに潜んでいる脆弱性を検査できます。
・ SQLインジェクション
・ コマンドインジェクション
・ クロスサイトスクリプティング
・ hiddenタグ不正操作
・ 強制ブラウジング
・ 認証・セッション管理
・ ヘッダリクエスト不正操作
・ アプリケーション・ロジック
・ バッファ・オーバーフロー
・ 既知の脆弱性
よさそうなツールですね。ただ、自分でやるのは面倒なので検査サービスをお願いした方が楽ですね。値段もそれほど高くないし。
皆さんありがとうございました!
やはりそれなりのお値段しますね。。
一つ訂正というか補足です。上記の「システム」というのは Web アプリケーションのまとまりのことを指しています。自社ではそう呼んでいますので。。
HONMA9691 さんに教えていただいたものでは「拡張診断Lv3(Webセキュリティ診断)」が該当します。
他にもご存知の方いましたらお願いします。