お問い合わせ
CSIRT構築支援 CSIRT構築支援
スペシャリストによる的確な対応・態勢整備を

セキュリティ診断サービス

ネットワークの現状把握のためにセキュリティ診断サービスを ご提供いたします。

どんなに組織内でセキュリティを強固にしても、日々の業務を運用していく中で、時間の経過とともに、様々な脆弱性(セキュリティホール)が発生します。また、組織内のセキュリティの状況を把握していなければ、どんな対策をしていいのかわかりません。

そこで、当社のセキュリティ診断サービスをご利用頂くことで、第3者的立場から脆弱点が把握でき、対策を施すことが可能となります。

外部に公開しているサーバについては定期的な状況把握が必要です。
また、サービス提供をご予定のシステムについては、リリース前に現状をご確認ください。
新規にソフトの購入もなく、即実施可能!

セキュリティ診断の種類

ネットワーク・セキュリティ診断(プラットフォーム診断)

ネットワークを経由して、対象サーバ・対象ネットワーク機器の脆弱性を診断します。診断方法は、リモート診断(インターネットを経由し、ファイアウォールの外側からの診断)

オンサイト診断(対象サーバと同一セグメントからの診断)の2種類をご提供しています。

いずれの診断方法においても、弊社診断エンジニアが事前に調査を行い、診断ツールを利用しての診断を実施いたします。ツールで発見した脆弱性については、弊社診断エンジニアが手動で確認したのちに、結果を報告書にまとめて納品いたします。

 

Webアプリケーション診断

Webアプリケーションの各機能の脆弱性をチェックする診断です。

Webアプリケーションのログイン画面や入力フォームに脆弱性がないかどうか、専用の診断ツールに加えて、ツールで検出できない脆弱性や検出することが困難な脆弱性については弊社診断エンジニアが手動で診断いたします。

 

チェックリスト診断

セキュリティ・コンサルタントによる状況確認診断です。

弊社オリジナルの診断チェックリストに基づき、現状を把握するための診断です。主には、構成の脆弱性、運用の脆弱性がないかどうかの診断を行います。

使用するセキュリティ診断ツール

ネットワーク・セキュリティ診断(プラットフォーム診断)

Nessus Professional 他

 

Webアプリケーション診断

Vex(Vulnerability Explorer)他

 

セキュリティ診断におけるチェック項目

【ネットワーク・セキュリティ診断(プラットフォーム診断)】

  • ネットワーク・リソースが外部から特定できるかどうか(ホスト名やエイリアスの検索、稼働OSの特定等)
  • セキュリティ攻撃に対して脆弱であることが知られているサービスを利用していないかどうか
  • サービス提供に不要なポートを利用してないか
  • アカウント・パスワードは適切に設定されているか
  • 脆弱な暗号化方式の利用を許可していないか
  • バッファオーバーフロー等を起こすセキュリティホールを放置していないか

  • DDoS攻撃の元となるプログラムやサービスは停止してあるか等

 

【Webアプリケーション診断】

IPA (独立行政法人情報処理推進機構)が発行している「安全なウェブサイトの作り方」(http://www.ipa.go.jp/security/vuln/websecurity.html) 及びOWASP Top10 2017(https://owasp.org/www-project-top-ten)で挙げられている項目を含む以下の項目を診断いたします。 

  •  SQLインジェクション
  •  OSコマンドインジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF (クロスサイト・リクエスト・フォージェリ)
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • クリックジャッキング
  • バッファオーバーフロー
  • アクセス制御や認可制御の欠落
  • XML外部エンティティ参照
  • XPathインジェクション
  • LDAPインジェクション
  • 意図しないリダイレクト
  • 安全でないデシリアイゼーション
  • 認証の不備
  • 不適切なセキュリティ設定など

 

【チェックリスト診断】

  • アカウント管理について
  • ログ取得について
  • バックアップについて
  • セキュリティ運用(サービスパック適用等)について
  • 各種サーバの公開範囲について
  • システム構築時のドキュメントチェック等

診断サービスの流れ

事前お申し込み

セキュリティ診断のご検討時に、お問い合わせください。対象範囲のご確認の上、診断価格の見積を行います。

 

診断ヒアリングシートのご提出

セキュリティ診断の実施が決定されましたら、対象機器の詳細(OS、稼働サービス、IPアドレス、周辺環境等)と、診断実施日程のご希望をお伺いするため、弊社から提示する「ヒアリングシート」にご記入いただきます。

 

診断日程の決定

「ヒアリングシート」に基づき、弊社エンジニアより、実施日程の連絡を行います。

 

診断の実施

予定時間になりましたら、弊社より連絡を行い、診断を実施します。診断終了後には、終了の連絡とともに、緊急度の高い脆弱性が発見されていないかどうか、速報でお知らせします。


レポート作成

診断実施時に取得できた結果を元に、弊社エンジニアのこれまでの診断実績を踏まえたレポートを作成いたします。

 

レポート送付

診断実施から最大3週間以内に、診断結果レポートを提出します。診断結果の報告会が必要な場合は、オンラインまたはオフラインにより、報告会を実施いたします。報告会は1回あたり2時間程度となります。

セキュリティ診断イメージ

診断レポート(例)

診断実施後、即日発行する「速報レポート」と、約3週間に提出する「最終レポート」の2種類があります。

速報レポート

  • リスク値「高」に該当する脆弱性が検出された場合は即時お知らせ
  • その他、検出された件数ならびに概要をお知らせ

最終レポート

  • 診断概要
    診断対象のホストに関する情報について記載しております。

  • 総合評価
    診断対象ホスト全体のセキュリティ診断結果に関する情報について記載しております。

  • 診断結果詳細
    セキュリティ診断で検出された脆弱性の情報を脆弱性ごとに記載しております。

  • ホスト別脆弱性一覧
    診断対象ホストごとに検出された脆弱性の一覧を記載しております。

セキュリティ診断サービス価格

別途お問い合わせください。