プロの診断でネットワーク環境をより安全に
脆弱性診断サービス
インターネット上に公開されているネットワーク機器やWebサイトといったIT資産は常にサイバー攻撃の脅威に直面しています。
これらの資産にセキュリティ上の 欠陥(=脆弱性)が存在していると、その脆弱性がサイバー攻撃の標的として狙われ、ネットワーク内部への侵入・情報漏えいといった重大インシデントに発展する リスクがあります。
脆弱性診断サービスとは、ネットワーク機器やWebアプリケーションに対して、実際のサイバー攻撃と同じ手法を用いて疑似攻撃を試行し、サイバー攻撃が成立しうる脆弱性の有無を診断するサービスです。
脆弱性診断サービスのモデル
ソリトンシステムズの脆弱性診断は
専門エンジニアによる手動診断
ソリトンシステムズの脆弱性診断は、専門エンジニアによる手動診断を基本とし、プラットフォーム診断、Webアプリケーション診断のいずれにも対応可能です。
手動診断は、汎用の脆弱性診断ツールでは検出できない脆弱性パターンにも対応できるため、脆弱性検知の網羅性が高く、高度なセキュリティレベルを指向する診断に適しています。
検出された脆弱性と対処方法を報告
診断で検出された脆弱性は診断担当エンジニアが報告書にまとめて納品します。
報告書には、脆弱性の詳細のほか、技術的な対処方法まで詳細に記載されているため、速やかに問題箇所の修正アクションをとることができます。
プラットフォーム診断と
Webアプリケーション診断
ソリトンシステムズの脆弱性診断サービスでは、診断対象に合わせてプラットフォーム診断とWebアプリケーション診断の2つの診断をご用意しています。
プラットフォーム診断とWebアプリケーション診断の違い
| プラットフォーム診断 | Webアプリケーション診断 | |
|---|---|---|
| 診断対象 | Webサーバなどの、ネットワーク機器のOSやミドルウェアの脆弱性、設定不備を診断 | Webサイトにページ改ざんや情報漏えい等につながる脆弱性が無いかを診断 |
| 見積単位 | 診断対象機器のIP数 | 診断対象のURLを頂ければ調査のうえ、お見積りいたします |
プラットフォーム診断概要
-
診断対象
ネットワーク機器のOSや
ミドルウェア -
診断方法
専門エンジニアによる手動診断
※一部脆弱性診断ツールを併用します -
成果物等
診断終了から10営業日で
診断結果報告書を納品
プラットフォーム診断の特長
高い脆弱性検出能力
専門エンジニアの手動診断(商用診断ツール併用)により脆弱性検知の網羅性が高いことが特長です。手動診断は、複数の脆弱性を組み合わせた攻撃や既存の攻撃手法の応用といった実際の攻撃に近い視点での診断が可能です。
ブラックボックス方式
実際のハッカーと同じ視点でブラックスボックス方式のテストを実施します(対象がサーバもしくは ルータ・FWなどのネットワーク機器のいずれであっても、IPアドレスをご指定いただくだけで診断が可能です)。
安全性への配慮
充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について、最大限に配慮した診断を実施します。
プラットフォーム診断項目(大分類)
- OSの脆弱性チェック
- ミドルウェアの脆弱性チェック
- アプリケーションの脆弱性チェック
- デフォルトアカウント使用のチェック
- 推測可能なパスワードのチェック
- 通信の盗聴可否のチェック(暗号化)
- 第三者中継(SPAM)のチェック
- 証明書の有効性チェック
- サンプルスクリプトの有無のチェック
Webアプリケーション
診断概要
-
診断対象
Web アプリケーション
(企業・ECサイト等) -
診断方法
専門エンジニアによる手動診断
※一部脆弱性診断ツールを併用します -
成果物等
診断終了から10営業日で
診断結果報告書を納品
Webアプリケーション診断の特長
ソリトンシステムズのWebアプリケーション診断は、IPA(独立行政法人 情報処理推進機構)発行の「安全なウェブサイトの作り方」や、OWASP(The Open Worldwide Application Security Project)のOWASP TOP10といった脆弱性診断のガイドラインに準拠して実施されます。
専門エンジニアの診断により、検出された脆弱性は、複数のエンジニアによる検証を行って誤検知を排除し、確実に脆弱性と認定されたもののみを報告書としてお納めいたします。
Webアプリケーション診断項目一覧
- セッション管理の不備
- HTTPレスポンス分割
- セッションフィクセーション
- リモートファイルインクルード
- クロスサイトリクエストフォージェリ
- 通信の暗号化
- クロスサイトスクリプティング
- 証明書の不備
- SQLインジェクション
- Refererによる情報漏洩
- OSコマンドインジェクション
- ユーザID等の調査
- ディレクトリトラバーサル
- 詳細なエラーメッセージ
- XMLインジェクション
- 拡張子偽装
- SSIインジェクション
- コメント・デバッグ情報
- XPathインジェクション
- アプリケーション固有の問題
- XQueryインジェクション
- フォーマットストリング
- LDAPインジェクション
- バッファオーバーフロー
- MXインジェクション
脆弱性診断サービス仕様
| 診断方法 | 専門エンジニアの手動による脆弱性診断(診断ツール併用) |
|---|---|
| 診断作業時間帯 | 平日10:00~18:00(夜間・深夜・休日オプションあり) |
| 診断速報 | 診断中に危険度の高い脆弱性が発見された場合、速報をご連絡 |
| 納品物 | 診断結果を診断結果報告書として納品 |
| 報告会 | 診断担当エンジニアが診断結果を報告いたします |
| 再診断(オプション) | 脆弱性改修後の再診断も可能です |