SERVICE事業内容
脆弱性診断 セキュリティ診断
昨今激化の一途をたどる国内外からのサイバー攻撃に対して、お客様の資産を漏えいや改ざん等から守るための対策が必要です。
脆弱性診断では、お客様のITシステムについて攻撃者の視点で調査と疑似攻撃を行って得た結果を考察と評価、アドバイスを行います。
サイバー攻撃からの防御策を推し進めるためには、セキュリティリスクを洗い出す脆弱性診断は重要です。
弊社では、お客様の構築/開発したシステムやWebアプリケーションに対して、弊社診断員が調査及び疑似的な攻撃を実施し、そこで得た結果を分析して脆弱性や脆弱性に繋がる情報を報告します。
概要
プログラムの不具合や設計上のミスなどが原因となり、ソフトウェア上に発生する情報セキュリティ上の欠陥のことを脆弱性や セキュリティホールと呼びます。
脆弱性を放置したままでいると、システムへの不正アクセス、マルウェアの感染といった危険性があるため、早急の対処が求められます。
弊社では、システムの脆弱性の発見方法に習熟した技術者による脆弱性診断を行い、問題点を把握して、対策を提案をすることで、安全なITシステムの構築・管理・利用のお手伝いをいたします。
例えば下記の目的に関して、弊社の診断サービスをご活用いただけます。
- お客様のセキュリティ対策に対する現状の評価と把握
- システムやアプリケーションの開発後、本番運用前のセキュリティ強度の確認
- 現行のシステムやアプリケーションのリスクの特定・評価・分析
- セキュリティポリシーに基づいた運用・遵守状況の確認
弊社では下記の診断サービスを提供しております。
プラットフォーム / ネットワーク診断
特徴
お客様環境のネットワーク機器やOS、サーバ、ミドルウェアに潜在する脆弱性や設定の不備の有無を診断するサービスです。
お客様が設定・構築されたネットワーク機器・サーバに脆弱性や設定の不備が無いかをインターネット(外部)またはイントラネット(内部)から検査します。
そこで判明した問題点を報告するとともに、現状から改善するための提案をすることで、ITシステムの安全で堅固な運用の支援を行います。 弊社では診断ツールによる包括的な調査の他、手動での診断も臨機応変に行います。
例えば、メールやWebサイトのサービスのほか、外部から組織内に接続するVPN、名前解決のためのDNS、時刻整合のためのNTP、専用の業務システムなど、様々な通信を行うシステムがありますが、このようなシステムを外側から調査して、外部の攻撃者から見たときに攻撃の足掛かりとなりうる脆弱性を発見することが可能です。
診断対象の例
- 外部公開:Webサーバ、メールサーバ、ファイアウォールなど
- 社内ネットワーク:ファイル共有サーバ、スイッチ、ルータなど
- IoT機器:監視カメラ、プリンタ、電子ホワイトボードなど
診断方法
- リモート診断:弊社環境からインターネット経由で診断を実施します。インターネットからの攻撃可能性をチェックできます。
- オンサイト診断:お客様のイントラネット上で診断を実施します。イントラネット侵入後の脅威や社内からの脅威をチェックできます。
診断項目
- TCPの全ポート調査
- UDPの主要ポート調査
- OS、ミドルウェア、ソフトウェアなどのバージョンの特定
- 既知の脆弱性の有無(CVE準拠)
- セキュリティ設定の不備の有無
- アクセス権限の適切性
- 類推可能な認証情報でのログイン試行
- SSL/TLSの暗号強度
ウェブアプリケーション診断
特徴
ウェブアプリケーションでは、下記のセキュリティリスクに晒される可能性があります。
- 不適切なスクリプトが利用できることでユーザIDやパスワードが漏えいする
- サイトを改ざんされて不適切な表示にされる
- システムに侵入されマルウェアの配布や犯罪者の通信中継を行うサーバに改造される
- 不適切にOSのコマンドを実行され、マルウェア感染や組織内部への侵入の踏み台にされる
ウェブアプリケーション診断サービスでは、お客様が作成されたウェブアプリケーションに対し、上記のような情報漏えいやデータ改ざん等に繋がる脆弱性や設定不備がないかを診断します。
専用ツールを用いた包括的な自動診断に加え、経験豊富な専門技術者による手動診断を合わせたサービスを提供します。
なお弊社ではIPAの『ウェブ健康診断仕様』に則った短納期で低コストな「ライト診断プラン」も提供しています。詳細はこちら。
診断対象の例
- ウェブアプリケーション
- ウェブAPI
- スマートフォンアプリケーション(※)
※アプリ操作の中でHTTP(S)通信が発生する箇所が診断対象となります。
診断方法
専門の診断員がお客様のシステムに対して専用の診断ツールによる自動診断と手動による診断・検証を行います。
- リモート診断:弊社環境からインターネット経由で診断を実施します。インターネットからの攻撃可能性をチェックできます。
- オンサイト診断:お客様のイントラネット上で診断を実施します。イントラネット侵入後の脅威や社内からの脅威をチェックできます。
診断中の操作・リクエストがシステムに影響を及ぼす可能性がございますので、テスト環境やステージング環境での実施を推奨します。
主な診断項目
OWASP Top 10 2021や IPA の『安全なウェブサイトの作り方』で取り上げられる脆弱性にも対応しています。
カテゴリ | 項目 |
---|---|
インジェクション | SQLインジェクション |
OSコマンドインジェクション | |
HTTPヘッダインジェクション | |
メールヘッダインジェクション | |
コードインジェクション | |
リモートファイルインクルージョン | |
XML外部実体参照 | |
XMLインジェクション | |
クロスサイトスクリプティング | |
処理に関わる 脆弱性 |
ディレクトリトラバーサル |
クロスサイトリクエストフォージェリ | |
認証 | ユーザ認証のバイパス |
認可 | 権限昇格 |
認可制御の不備 |
カテゴリ | 項目 |
---|---|
セッション管理 | 類推可能なセッションID |
強度の低いセッションID | |
セッションフィクセーション | |
セッション有効期限の不備 | |
ウェブサーバ の設定 |
HTTPメソッドの不適切な許可 |
ディレクトリリスティング | |
デフォルトコンテンツの表示や実行 | |
システム情報の表示 | |
管理画面へのアクセス制御不備 | |
SSL/TLSに関する設定 | |
アプリ仕様または 設計の不備 |
意図しないアプリ操作の可能性 |
診断の流れ
各脆弱性診断のサービスは下記の流れで実施いたします。
報告書サンプル
各脆弱性診断のサービスは下記の流れで実施いたします。