セキュリティ診断サービス(ITインフラ/Webアプリ/ソースコード診断)
専門家による診断で、お客様のサーバやWebコンテンツに潜む脆弱性を洗い出し、サイバー攻撃対策を支援します。
日々サイバー攻撃は増えており、WebアプリやWebメール等のWebコンテンツ、サーバやネットワーク機器等がサイバー攻撃の標的となっています。たとえWebサイトやサーバ内に個人情報を保持していないとしても安心は出来きません。攻撃者が脆弱性を利用してサーバを乗っ取られると、サイト利用者がマルウェア感染やフィッシングサイトに誘導さるなど、お客様のサーバが加害者になってしまう可能性があります。そのようなサイバー攻撃から守る為にお客様のサーバやWebコンテンツに潜む脆弱性を洗い出し、セキュリティ対策を支援します。
サービス概要
本診断サービスでは、Webコンテンツ、サーバの脆弱性や脅威の洗い出しを行う、3種類のサービスを提供します。
診断サービスでは、脆弱性スキャナを利用した結果をそのまま報告はせず、アナリストが手動で検査結果の精査及び追加調査を行っている為、高品質な診断結果をご提供することが出来ます。
ツールのスキャン結果は、脆弱性の検出結果によっては十数ページ~千ページまでの規模に及ぶ可能性があります。また、誤検知・過検知等のノイズが多く含まれており、脆弱性の対策費用が多く嵩む可能性があります。本サービスでは、その様な費用を発生させない為にセキュリティに精通した専門家がノイズを除去し、診断結果を分かりやすいフォーマットの報告書にまとめご報告します。
ITインフラ診断
サーバやネットワーク機器のOSやミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を調査し、対策方法をご報告します。
対象サーバのOS及び稼働しているサービスをチェックし、稼働しているサービスで利用されているソフトウェアに脆弱性が存在するか調査を行います。
主な診断項目
| ポートスキャン調査 | TCP/UDP に対してオープンポート状況を確認します。 |
|---|---|
| バナー調査 | オープンポートに対してサービスのバナー情報(ソフトウェアのバージョン等の情報)を収集します。 |
| 各種OSの脆弱性調査 | WindowsやLinux等のOSの脆弱性を調査します。 |
| アカウント調査 | デフォルトアカウントや単純なパスワードの利用有無を調査します。 |
| 暗号化設定の調査 | 危殆化した暗号や脆弱な暗号を利用していないか調査します。 |
| その他の脆弱性調査 | その他、取得出来た情報から脆弱性の有無を調査します。 |
拡張オプション:侵入テスト(ペネトレーションテスト)
お客様のサーバやネットワーク機器に潜む脆弱性を調査し、事前に定めた攻撃目標が達成出来るかを評価、報告します。 脆弱性診断では、網羅的にサーバの脆弱性を洗い出すことが目的ですが、ペネトレーションテストは、お客様と協議の上、定めた攻撃目標が達成出来たかどうかを確認することを目的とします。また、報告内容に関しては、脆弱性診断は検出した脆弱性を報告し、ペネトレーションテストは調査過程で検出した脆弱性を報告の上、攻撃の結果を報告します。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | サーバの脆弱性を網羅的に調査 | 攻撃目標を達成する為の脆弱性を調査し、攻撃コードを実行して実際のリスクを評価・分析を行う。 |
| 報告内容 | 報告内容 | 攻撃シナリオと実行結果 調査過程で検出した脆弱性 |
ペネトレーションテストは、お客様と目標を協議して作業内容を決定しますが、基本は以下のような作業工程でご提案しております。
※上記の作業日数は、診断対象の規模によって変動いたします。作業日数の詳細についてはお問い合わせ下さい。上記Exploit(攻撃実行)で実施する作業内容としては下表の作業が基本作業となります。その他の作業内容をご希望の場合は、ご相談下さい。
| Exploitコード実行 | 脆弱性調査で見つけた脆弱性を利用する攻撃コードを実行します。 |
|---|---|
| パスワードクラック | 脆弱性調査の段階で見つけた対象機器の認証サービスに対して、アカウント情報とパスワードの辞書を用いてパスワードクラックを試みます。 |
WEBアプリ診断
Web アプリケーションやWebAPI等のWeb コンテンツに対して SQL インジェクションやクロスサイト・スクリプティング (XSS)等の脆弱性を調査し、対策方法をご報告します。Webコンテンツで利用している言語を問わず、Webコンテンツにアクセス可能であれば診断を行うことが出来ます。
Webサイト上の操作に伴う通信(リクエスト)を改変し、Webサーバから受信した通信(レスポンス)から脆弱性を判断します。
主な診断項目
| SQLインジェクション | データベースの不正操作を受けないか調査します。 |
|---|---|
| クロスサイト・スクリプティング | ページ改ざんや他ユーザのセッション情報奪取攻撃の可否を調査します。 |
| クロスサイトリクエストフォージェリ | 正規ユーザが意図して操作していることをチェックする機能が備わっていることを調査します。意図しない注文、ユーザ情報変更、退会処理等が行われないか確認します。 |
| ディレクトリ・トラバーサル | 非公開のデータにアクセスされないか調査します。 |
| OS コマンドインジェクション | WebサーバのOSコマンドを不正に実行されないか調査します。 |
| パスワード管理の不備 | 対象サイト内のパスワード管理に不備がないか調査します。 |
| ファイルアップロード機能の不備 | ファイルアップロード機能において、想定外のファイルがアップロード出来ないか調査します。 |
| 認証制御の不備 | 認証回りに不備があり、認証回避やなりすましが行えないか調査します。 |
| 認可制御の不備 | 複数権限が存在するシステムにおいて、権限を無視してアクセス出来ないか調査します。 |
診断対象
ECサイトやコーポレートサイト等のWebサイトもしくは、スマートフォンアプリやWebサービスのマッシュアップAPI等のWebAPIを対象とします。
ソースコード診断
アプリケーションのソースコードに潜む脆弱性を検出し、対策方法をご報告します。開発中(稼働中も可)のソースコードを解析することにより、アプリケーションの根本的なセキュリティ対策を支援します。Webアプリ診断とは違い、Webサーバの環境の準備する必要がなく、ソースコードを提供していただくことで診断可能です。
主な診断項目
| SQLインジェクション | データベースの不正操作を受けないか調査します。 |
|---|---|
| クロスサイト・スクリプティング | ページ改ざんや他ユーザのセッション情報奪取攻撃の可否を調査します。 |
| クロスサイトリクエストフォージェリ | 正規ユーザが意図して操作していることをチェックする機能が備わっていることを調査します。意図しない注文、ユーザ情報変更、退会処理等が行われないか確認します。 |
| ディレクトリ・トラバーサル | 非公開のデータにアクセスされないか調査します。 |
| OS コマンドインジェクション | WebサーバのOSコマンドを不正に実行されないか調査します。 |
| バッファオーバーフロー | 上限若しくは下限を大きく超えた値が入力された時に予期しない挙動が起きないか調査します。 |
| ハードコーディングされた機密情報 | ソースコード内にパスワード等の機密情報がハードコーディングされていないか調査します。 |
| ログ偽造 | ログ書き込み処理に不正な文字列を挿入することでログ改ざんを行えないか調査します。 |
| 解放されていないリソース | 確保したリソースを処理終了時に解放しているか確認します。 |
対応言語
本サービスでは、様々な言語に対応しており、20種類に及ぶプログラミング言語の解析及び脆弱性の報告を行います。
Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swiftサービス提供までのフロー
診断対象のシステム概要や対象規模についてヒアリングを行った上、見積りを行います。その後、診断、診断結果の分析・調査、報告、報告結果のお問い合わせ受付という流れになります。
※上記の作業日数は、診断対象の規模によって変動いたします。作業日数の詳細についてはお問い合わせ下さい。
共通オプション
| 作業項目 | 作業内容 |
|---|---|
| 夜間/休日診断 | 日中の業務に影響が出ないように平日夜間、休日日中、休日夜間に作業を実施します。 |
| オンサイト診断 | 診断対象サーバが外部公開されていない、内部における脆弱性リスクを把握したい場合に顧客先に伺い診断します。 ※ソースコード診断におけるオンサイト診断は要相談 |
| 速報 | 高危険度の脆弱性を以下日程でご連絡します。 ITインフラ/Webアプリ診断 (診断終了後3日以内) ソースコード診断 (診断終了後5日以内) |
| フォローアップ診断 | 診断で検出した脆弱性が正しく是正されているか確認します。 |
| 診断結果報告会 | 診断結果報告書を提出後、診断報告書についてお客様指定の場所でご説明します。 |
価格
お客様の診断対象の規模とシステム概要をヒアリングし、個別にお見積りいたします。
概算見積のみをお求めのお客様は、以下の情報をお問い合わせ内容に記載の上お問い合わせ下さい。
| ITインフラ診断 | IP数 |
|---|---|
| Webアプリ診断 | 画面数 |
| ソースコード診断 | ソースコードのステップ数(行数) |
・診断場所(リモートorオンサイト)
・オプションの有無(共通オプション参照)
