セキュリティ診断サービス｜日立ソリューションズ

ホーム
>ソリューション・商品
>情報セキュリティ
>セキュリティ診断サービス

最新のセキュリティ技術を駆使したセキュリティ診断と分かりやすい報告書により、増大するセキュリティ侵害と情報漏洩事件に対する効果的な対策方法をご提供します。

セキュリティ診断サービス概要

増大するセキュリティ侵害・情報漏洩。近年は、Webアプリケーションのセキュリティホールを利用した攻撃が多発しています。Webアプリケーションが攻撃されやすい理由として、市販ツールでの脆弱性発見が難しいこと、プログラム開発者のスキル不足により、セキュリティホールが生まれやすいことなどが挙げられます。

日立ソリューションズのセキュリティ診断は、ツールだけに頼らず、キーオペレーションを併用していることが特長です。高度なセキュリティ／ハッキング知識を有する弊社セキュリティ技術者が、様々な手法やツールを駆使し、お客様が管理されているネットワーク上の機器およびサーバに対し擬似攻撃を試行することで、精度の高い診断を実施いたします。
診断の結果発見されたセキュリティホールについては、その内容と対策方法を、「セキュリティ診断報告書」に分かりやすくまとめてご提示いたしますので、お客様は、セキュリティ上の問題点を客観的に把握した上で、効果的なセキュリティ対策を行うことが可能です。

このページの先頭へ

セキュリティ診断サービス詳細

インターネット経由(リモート)、あるいは、お客様先（オンサイト）にて、さまざまな方法でセキュリティホールがないか診断します。

ネットワーク型診断サービス

お客様のシステムを構成するサーバやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールが存在しないかどうかをネットワーク経由にて診断します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
ネットワーク型診断では、診断対象となるIPアドレス単位に、診断場所（リモート/オンサイト）と、以下の診断レベルをご選択いただけます。

診断レベル	サービス内容
エクスプレス	存在確認、ポートスキャン、および商用の脆弱性検査ツールを使用した診断を実施する。TCP/UDPポートスキャンは良く知られたポート（1～1024）のみ実施。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。
スタンダード	「エクスプレス」の内容を含み、以下を実施。 TCP/UDPポートスキャンをフルポート（1～65535）まで拡張して実施。脆弱性検査ツールで検出された脆弱点に対し、誤検出かどうかをセキュリティに精通した診断作業者によるマニュアル(手動）診断で再確認。再確認結果を弊社見解として「セキュリティ診断報告書」に追記。
プロフェッショナル	「スタンダード」の内容を含み、以下を実施。ポートスキャンで発見したポート（＝公開されているサービス）に対して、セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。セキュリティホールの有無をキーオペレーションにて確認する。マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。

診断レベル

サービス内容

エクスプレス

存在確認、ポートスキャン、および商用の脆弱性検査ツールを使用した診断を実施する。TCP/UDPポートスキャンは良く知られたポート（1～1024）のみ実施。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。

スタンダード

「エクスプレス」の内容を含み、以下を実施。

TCP/UDPポートスキャンをフルポート（1～65535）まで拡張して実施。
脆弱性検査ツールで検出された脆弱点に対し、誤検出かどうかをセキュリティに精通した診断作業者によるマニュアル(手動）診断で再確認。
再確認結果を弊社見解として「セキュリティ診断報告書」に追記。

プロフェッショナル

「スタンダード」の内容を含み、以下を実施。

ポートスキャンで発見したポート（＝公開されているサービス）に対して、セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。セキュリティホールの有無をキーオペレーションにて確認する。
マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。

※お客様先でのオンサイト報告会は、オプションとなります。

Webアプリケーション診断サービス

お客様にて作成されたWebコンテンツに対し、SQLインジェクションやクロスサイトスクリプティングなどに代表されるWebアプリケーション特有のセキュリティホールがないかどうかをネットワーク経由にて診断します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
Webアプリケーション診断では、診断対象となる業務アプリケーション（Webサイト）単位に、診断場所（リモート/オンサイト）と、診断レベル(以下)をご選択いただけます。

診断レベル	サービス内容
スタンダード	Webアプリケーションの入力域や隠しフィールドに対してWebサーバ特有のセキュリティホールがないかどうかを、商用のWebアプリケーション検査ツールを使用し、ネットワーク経由にて簡易的に診断する。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。
プロフェッショナル	「スタンダード」の内容を含み、以下を実施。セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。お客様アプリケーション固有の画面遷移、パラメータ名などからの機能の類推など、ツールだけでは判断できないセキュリティホールの有無をキーオペレーションにて確認する。マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。お客様先で、「セキュリティ診断報告書」をもととしたオンサイト報告会を実施。

診断レベル

サービス内容

スタンダード

Webアプリケーションの入力域や隠しフィールドに対してWebサーバ特有のセキュリティホールがないかどうかを、商用のWebアプリケーション検査ツールを使用し、ネットワーク経由にて簡易的に診断する。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。

プロフェッショナル

「スタンダード」の内容を含み、以下を実施。

セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。お客様アプリケーション固有の画面遷移、パラメータ名などからの機能の類推など、ツールだけでは判断できないセキュリティホールの有無をキーオペレーションにて確認する。
マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。
お客様先で、「セキュリティ診断報告書」をもととしたオンサイト報告会を実施。

※お客様先でのオンサイト報告会は、「スタンダード」の場合、オプションとなります。
※SQLインジェクションのみの確認など、診断項目のアレンジも可能ですので、お気軽にお申し付けください。

ホスト型診断

お客様先（オンサイト）にて、対象となるホスト（サーバ）に実際にログインさせていただき、OSやミドルウェアのセキュリティ設定やユーザ/パスワード管理、パッチ適用が適切か実施されているかをどうかを確認します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
具体的には、対象となるホスト上に、設定情報収集ツールをコピーさせていただき、ツールを実行することで作成される結果ファイルを弊社にて解析します。

セキュリティ診断イメージ

セキュリティ診断イメージ図

このページの先頭へ

セキュリティ診断サービス診断内容

以下は標準的な診断内容です。診断項目のアレンジなど、カスタマイズも可能ですのでお気軽にご相談ください。

ネットワーク型診断サービス

診断レベル	サービス内容
エクスプレス	脆弱性診断ツールによる脆弱性診断 TCP/UDP下位ポートスキャン(1～1024番)によるポートの公開状態確認
スタンダード	脆弱性診断ツールによる脆弱性診断使用OS・バージョンの特定と脆弱性確認使用アプリケーション・バージョンの特定と脆弱性確認上位ポートを含めたTCP/UDP全ポートスキャン(1～65535番)によるポートの公開状態確認
プロフェッショナル	「スタンダード」の内容ポートスキャンにて発見されたポートにて稼働しているサービスの確認および手動での脆弱性調査 (例) DNS脆弱性調査（ゾーン転送、再帰呼出しによるキャッシュ汚染）メールサーバ脆弱性調査（不正中継・メールアカウント搾取） SNMPによるサーバ情報取得その他使用サービスの脆弱性確認

Webアプリケーション診断サービス

診断レベル	サービス内容
スタンダード	SQLインジェクション診断 OSコマンドインジェクション診断パラメータ改ざん診断クロスサイトスクリプティング診断クッキーのセキュリティ属性設定診断不要なエラーコード診断バッファオーバーフロー診断セッションフィクセーション診断クロスサイト・リクエスト・フォージェリ診断
プロフェッショナル	「スタンダード」の内容デフォルトインストール状態で存在する脆弱なファイルの確認隠しURLの検索不要HTTPコマンドの実装顧客情報データ取得の試行管理者権限取得の試行ブルートフォース、脆弱性を利用した認証突破の試行その他ツールでの判断が難しい、パラメータの機能類推や独特の画面遷移などを意識した、手動診断による脆弱点の確認

診断レベル

サービス内容

スタンダード

SQLインジェクション診断
OSコマンドインジェクション診断
パラメータ改ざん診断
クロスサイトスクリプティング診断
クッキーのセキュリティ属性設定診断
不要なエラーコード診断
バッファオーバーフロー診断
セッションフィクセーション診断
クロスサイト・リクエスト・フォージェリ診断

プロフェッショナル

「スタンダード」の内容
デフォルトインストール状態で存在する脆弱なファイルの確認
隠しURLの検索
不要HTTPコマンドの実装
顧客情報データ取得の試行
管理者権限取得の試行
ブルートフォース、脆弱性を利用した認証突破の試行
その他ツールでの判断が難しい、パラメータの機能類推や独特の画面遷移などを意識した、手動診断による脆弱点の確認

ホスト型診断

診断レベル
セキュリティパッチの適用状態に関する診断パスワード設定に関する診断アカウント設定に関する診断ログイン設定に関する診断ネットワーク設定に関する診断システム監査設定に関する診断スタートアップ設定(稼働サービス)に関する診断ユーザファイル設定(アクセス権限など)に関する診断

診断レベル

セキュリティパッチの適用状態に関する診断
パスワード設定に関する診断
アカウント設定に関する診断
ログイン設定に関する診断
ネットワーク設定に関する診断
システム監査設定に関する診断
スタートアップ設定(稼働サービス)に関する診断
ユーザファイル設定(アクセス権限など)に関する診断

このページの先頭へ

セキュリティ診断サービス価格（税込）

ネットワーク型診断、ホスト型診断は、1IPアドレスから診断可能です。またWebアプリケーション診断は1画面から診断可能です。価格は個別見積となります。

価格例

ネットワーク型診断（診断対象10IP・リモート）	エクスプレス	313,740円～　(税抜 298,000円～)
	スタンダード	375,480円～　(税抜 357,600円～)
	プロフェッショナル	478,800円～　(税抜 456,000円～)
Webアプリケーション診断 (動的画面数50・リモート)	スタンダード	756,000円～　(税抜 720,000円～)
Webアプリケーション診断 (動的画面数50・リモート)	プロフェッショナル	1,176,000円～　(税抜 1,120,000円～)
ホスト型診断（診断対象10ホスト）	-	546,000円～　(税抜 520,000円～)