セキュリティ

脆弱性診断やレッドチームによる診断サービス

現在の業務・ビジネスでは、インターネットの利用が大きな役割を果たしています。
業務の効率化・省力化のため、 システム化を図り、インターネット経由のアクセスも可能にしているところが多いかと思います。

しかし、その環境は、「安全」に利用できているのでしょうか?

脆弱性診断サービス

システムは、業務の遂行など、「目的の達成」ができるかどうかを主眼に作られます。
そのため、「通常の正常系が正しく処理できる」ことに傾注しがちです。
その結果、システムで用いている 通信に「わざと異常な情報を入れる」ことにより、システムの作成者が想定していた以外の動作を引き起こしたり、利用していないサービスが起動したままで、第三者から接続できるケースがあります。
また、認証機能が不十分だったり、 パスワードが不適切な結果、第三者が利用できてしまうこともあります。
これらは「脆弱性」と呼ばれ、情報漏えいを 始めとした、現在問題になっている様々なインシデントを引き起こすために、攻撃者に利用されています。

「安全」にITシステムを利用するには、こうした「脆弱性」を無くさなければいけません。
そのためには、 システムを広い観点からチェックしていき、穴を見つけて埋めていく必要があります。
弊社では、「脆弱性」の発見方法に習熟した技術者による 「脆弱性診断」を行い、問題点を把握して、「穴を埋める」提案をすることで、安全なITシステムの利用のお手伝いをいたします。

OA環境の脆弱性診断

一般の事務所等、いわゆるOA環境の脆弱性診断を行います。

一般的なOA環境と外部の接続は、様々なものが あります。
メールやWebサイトの閲覧のほか、外部から組織内に接続するVPN、名前解決のためのDNS、時刻整合のための NTP、専用の業務システムなど、様々な通信が可能になっています。

しかし、これらの環境は、本当に適正でしょうか? 本来不要なFTPが残っていたりしないでしょうか?また、例えば「通信にはVPNを使っているから大丈夫」と思いがちですが、 守られるのは通信データの内容だけです。VPNの機器そのものに脆弱性があり、CVEやパッチが発行されていますが、これらが 適用されていないと、攻撃が成功してしまいます。こういった脆弱性に、全て対応できているでしょうか?

こういった問題を把握するために、環境に対する脆弱性診断をお勧めいたします。
問題を事前に発見し、 パッチの適用、機器の交換、不要なサービスの停止を行うことで、攻撃者の進入の入口を塞ぐことが重要です。

Webサイトの脆弱性診断

Internetに公開している、Webサイトの脆弱性診断を行います。

Webサイトは、外部の不特定多数の人に接続を 許可している性質上、特に狙われやすいということができます。
Webサイトへの攻撃は、Webサイトが持っている情報が 直接狙われる、不適切なスクリプトが利用できることで、ユーザIDやパスワードが第三者に知られてしまう、サイトを 改ざんされ、不適切な表示にされてしまう、あるいはマルウェアの配布や犯罪者の通信中継を行うC&C(Command & Control) サーバに改造されてしまう、不適切にOSのコマンドを実行され、マルウェアの感染や組織内部への進入の踏み台に されてしまう、などの多くの可能性が存在します。

こういった攻撃の多くは既知のもので、「既知の問題であるにも関わらず、 アプリケーションの実装に問題がある」Webサイトを攻撃者が攻撃する、というケースが多いことが事実です。OWASPを始めとした 既知の攻撃技法のチェックに加え、経験豊富な技術者によるカスタムチェックにより、予め問題点を把握し、対策を施すことで、 事前に被害を防止することができます。

診断の例:

レッドチームによる診断

様々な対策を施し、「セキュリティ対策を万全に施した」と言える組織もあるかと思います。

しかし、本当に外部からの侵入は不可能なのでしょうか?

それを試すために、攻撃者の観点から侵入を試みる「レッドチーム」による診断があります。
この診断では、 セキュリティ対策に問題がないかを確認するだけでなく、セキュリティ対応チームの対応が円滑に行われるか、検知や証跡の 収集などに問題がないかなど、入口対策、内部対策、出口対策が機能的に問題なく実施できているかを試すことができます
仮に侵入を許してしまったとしても、単に一つの穴を見つけるだけでなく、組織的な対応や今後のセキュリティ強化に必要な要素など、 検証のために必要な多くの情報と知見が得られます。

CONTACT お問い合わせ

サービスのご相談、資料請求など、お気軽にお問い合わせください。

03-5213-4580(代表)
月~金曜 9:00~17:00

PAGETOP