top of page
制服を着た警備員

Cyber Security

WordPress脆弱性診断

moricle_logo_black.png
LIBRUSX2.jpg
seafolks_logo.png

現在の深刻なサイバーセキュリティ脅威に対処していくには、サイバーリスクと対処方法に関する経験に裏付けられた知識をもとに、問題の特定と対策の実施に継続的に取り組んでいくことが必要です。

モリクルは、テクノロジーベンダーや事業会社、コンサルティングファームでサイバーセキュリティの幅広いフィールドで経験を深めたセキュリティプロフェッショナルによって設立されました。
「モリクル」という社名には、お客様の「守りのサイクル」を継続的に支えるパートナーとして信頼され、お役に立っていきたいという意志が込められています。

SEAFOLKS、MORYCLE、LIBRUSは、国内外のパートナーとの連携のもと、豊富な経験を生かした確かな品質のサイバーセキュリティサービスを提供していきます。

​サービス全体像

セキュリティ診断、サイバー攻撃から身を守るための未然防止策・社員研修、実際に発見した脅威に対する緊急対応、そして復旧まで、サイバーセキュリティに関する幅広い課題への対応を、ベンダー中立・領域横断的にご提供可能です。

dots.png

-​ セキュリティ対策の各ステージ -

-​ 提供サービス -

●セキュリティ診断

(脆弱性診断/侵入テスト)

●リスクアセスメント

●社員研修・トレーニング

●規程類の整備/運用

●SOC構築

●ダークウェブ関連ソリューション

●総合保障サービス

●CSIRT構築

●システム/その他インフラ再構築

●デジタルフォレンジック

既存システム・開発システムに脆弱性がないかを確認・特定

社外からの攻撃、社内の不適切な行為を未然に防止

サイバー攻撃の兆候を早期に発見

発見した脅威に対して即座にかつ適切に対処する

再発防止策の検討と共に、被害拡大防止や風評被害対策の実施

​識別

​防御

​検知

​対応

復旧

MORICLE代表者プロフィール
図1.png
​辻 昭太(Shota Tsuji)
dots.png
マイクロソフト、シマンテック、シスコなどグローバルテクノロジ企業にて主にセキュリティ領域の技術コンサルタントとして勤務後、SBI証券IT子会社(SBI BITS) でセキュリティ部門の立ち上げをリード。2021年に米系リスクコンサルティングファーム(プロティビティ)に移り、サイバーセキュリティの監査とコンサルティングの業務を手掛ける傍ら、2022年に独立し、合同会社モリクル設立。
主な専門領域

  • ​対策フレームワーク (CIS Controlsなど) を使ったセキュリティ態勢アセスメント

  • Webアプリケーションの脆弱性診断

  • インシデント対応計画整備、レビュー

  • EDR、脆弱性管理ソリューションなどの導入・運用 ほか

stethoscope

​WordPress特化型

脆弱性診断・レポートサービス

dots.png

​WordPressで制作されたHPに特化した毎月の脆弱性診断・レポートと
その発見された場合の事後対応をセットにしたサービスを提供いたします

​WordPressは使い勝手の良いCMSですが、固有の脆弱性(リスク)が潜んでいます

​WordPressの仕組み

WordPressはWebサーバ上に存在し、ページ表示に必要なデータ要求された タイミングで転送するデータ(HTML)を動的に生成
WordPressはページ表示の要求を受けた際に、そのページを表示するために 必要なPHPを実行します。そして、実行されたPHPはそのページを表示する ために必要なデータ(記事の本文)をMySQLから取得

​WordPressのリスク

1. HTML動的生成によるリスク

  • WordPressは、PHPというサーバーサイドスクリプト言語を使って、ユーザーがリクエストした内容に基づいて動的にHTMLを生成しています。たとえば、ブログ記事を表示するために、データベースから記事データを取得して、その内容を元にHTMLを作り出します。

  • これにより、単純な静的HTMLファイルと違い、毎回異なる内容のページを生成できるため、便利で柔軟性が高いのですが、その反面、動的処理には多くのリスクが伴います

2. 動的処理に伴うセキュリティリスク

  • PHPはリクエストに応じてデータベースとやり取りを行うため、入力内容が悪意のあるコードだった場合、サイトに害を与える可能性があります。

  • 例えば、「SQLインジェクション」という攻撃では、攻撃者がサイトの検索フォームやURLに特殊な文字列を入力し、データベースを意図的に操作することができます。PHPコードが適切でないと、攻撃者の入力からデータベースの情報が漏れたり、改ざんされたりします。

3. ファイル操作や権限管理のリスク

  • PHPは、サーバー上でファイルの読み書きを行うことができます。WordPressのテーマやプラグインはPHPで作成されているため、悪意のあるプラグインやテーマが、サイトのファイルに不正な変更を加えたり、管理者権限を持っていないユーザーが本来アクセスできない情報にアクセスしたりするリスクがあります。

4. 入力データの処理に潜むリスク

  • PHPは動的にページを生成するため、ユーザーからの入力やデータベースの内容をページに埋め込みます。その際に、ユーザーの入力内容を適切に検査(バリデーション)せずにそのままページに表示してしまうと、攻撃者が悪意のあるJavaScriptコードを埋め込むことができてしまいます。これを**クロスサイトスクリプティング(XSS)**と呼びます。

​WordPress特化型脆弱性診断・レポートサービスは、
Wordpressで制作されたHPに特化し、
毎月の脆弱性診断、レポート、発見された脆弱性の改善対応をセットにした、
セキュリティ改善サイクルサービスを提供します

Analysis​
HPの脆弱性診断※1
毎月行います

Recovery
​脆弱性の修復を
​いたします

AdobeStock_495893951_edited_edited_edite

Report
脆弱性レポートを
​提出します

WordPressへの脆弱性への備え
適切なバージョン管理だけでなく、コアファイルのチェック

WordPressのプラグイン(拡張機能、Google Chromeの拡張機能など)の脆弱性がないかの管理

不必要な機密情報の公開がないかのチェック
(機密情報ファイル・管理画面URLなど)

「​WordPress特化型脆弱性診断・レポートサービス」

月額1万円(税抜)※/1URLあたり


6ヶ月おまとめ契約の場合 12,000円 × 6ヶ月=72,000円(税抜)
12ヶ月おまとめ契約の場合 10,000円 × 12ヶ月=100,000円(税抜

その他注意事項:
・オプションは脆弱性回復はできることのみ表記しすべて都度見積とさせていただきます。
・1万円は診断とレポートのみ料金です。以降は別途見積もりとさせていただきます。

その他サイバーセキュリティサービスのご紹介

​WordPress脆弱性診断事業、その他のサイバーセキュリティ対策については、

以下よりお問い合わせください。

bottom of page