セキュリティ診断サービス(脆弱性診断)

セキュリティ診断(脆弱性診断)とは

セキュリティ診断とは、Webアプリケーションやネットワーク機器、OS・ミドルウェアなどに脆弱性がないかを疑似攻撃により調査することです。診断方法には、ツールを利用したものと専門の技術者が手動で行うものがあり、攻撃者の視点でセキュリティリスクを洗い出すことができます。ツールには、手軽に使える「フリーの簡易診断ツール」も存在しますが、こういったツールはあくまで簡易的なもので、脆弱性を見逃す可能性があります。

日立ソリューションズのセキュリティ診断サービスは専門技術者が脆弱性診断を実施、お客さまにご提供。Webアプリケーションやネットワーク機器、OSやミドルウェアが外部から不正にアクセスされるような脆弱性はないか、不要な通信ポートから攻撃されるような脆弱性がないかなど、用途に応じ、さまざまな脆弱性を摘出し、結果をわかりやすくお客さまにご報告します。さらに、摘出した脆弱性に対して、対策方針のご提案も行います。

セキュリティ診断サービスの概要

セキュリティ診断(脆弱性診断)とペネトレーションテストの違いをご紹介

「ペネトレーションテストと脆弱性診断の違いから理解するペネトレーションテストの必要性」

セキュリティ診断(脆弱性診断)が必要な理由

脆弱性を放置しておくと、そこからサイバー攻撃を受けるリスクが高まります。マルウェア感染や不正アクセスによって、個人情報など機密情報の漏洩が起こらないようにするためにも、脆弱性の早期発見が必要です。
しかし実際は、脆弱性を放置している企業は少なくありません。システム開発時やネットワーク機器導入時にセキュリティ診断を実施していたとしても、サイバー攻撃の手法は日々進化しており、いつ顧客情報や機密情報などを抜き取られてもおかしくない状況です。そのためセキュリティ診断は、定期的に実施することが重要です。また、情報システムはもちろん、IoT化によりネットワークへの接続が増えている制御システムにおいても、同様に外部からサイバー攻撃を受けるリスクがあるため、定期的なセキュリティ診断が必要です。

特長

  • 高度なセキュリティ診断ツールなどを利用することで、新たな脆弱性にもいち早く対応し、網羅的な診断が可能です。
  • 高度なセキュリティやハッキング知識を有するハッキング技術の専門家がさまざまな手法やツールを駆使し、疑似攻撃を試行することで、ツールでは発見できない脆弱性についても調査、摘出できます。
  • 診断において発見された脆弱性については、報告書としてわかりやすくまとめます。脆弱性に対する対策方針も提案するため、報告内容をもとに、お客さまにて適切な対策を行えます。

サービス内容

Webアプリケーション診断

お客さまにて作成されたWebコンテンツに対し、SQLインジェクションやクロスサイトスクリプティングなどに代表されるWebアプリケーション特有の脆弱性がないかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、ハッキング技術の専門家による手動診断を含めたプロフェッショナル診断の2種類があります。

診断レベル サービス内容
スタンダード
  • クロスサイトスクリプティングの診断
  • SQLインジェクション、コマンドインジェクションの診断
  • ディレクトリリスティングの診断
  • ディレクトリトラバーサルの診断
  • デフォルトファイル検索の診断
  • エラーページによる情報取得の診断
  • 構成情報、個人情報漏洩の診断
  • その他既知の脆弱性診断
  • 商用脆弱性検査ツールを使用した診断
プロフェッショナル
  • クロスサイトスクリプティングの診断
  • SQLインジェクション、コマンドインジェクションの診断
  • パラメーター改ざん、削除の診断
  • クロスサイトリクエストフォージェリの診断
  • ディレクトリリスティングの診断
  • ディレクトリトラバーサルの診断
  • デフォルトファイル検索の診断
  • 強制ブラウジングの診断
  • 認証、セッション管理の診断
  • エラーページによる情報取得の診断
  • 構成情報、個人情報漏洩の診断
  • 商用脆弱性検査ツールを使用した診断

ネットワーク型診断

お客さまのシステムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対する脆弱性が存在しないかどうかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、ハッキング技術の専門家による手動診断を含めたプロフェッショナル診断の2種類があります。

診断レベル サービス内容
スタンダード
  • 診断対象の存在確認(ICMP ECHO要求に対する応答の確認)
  • TCPサービスポートの確認(1番から65535番ポートまでのポートスキャン)
  • UDPサービスポートの確認(1番から65535番ポートまでのポートスキャン)
  • 商用脆弱性検査ツールを使用した診断
プロフェッショナル
  • 診断対象の存在確認(ICMP ECHO要求に対する応答の確認)
  • TCPサービスポートの確認(1番から65535番ポートまでのポートスキャン)
  • UDPサービスポートの確認(1番から65535番ポートまでのポートスキャン)
  • OS情報の確認
  • 動作アプリケーション情報の確認
  • 商用脆弱性検査ツールを使用した診断
  • 手動による脆弱性診断(例:DNS:ゾーン転送、SMTP:メールアカウントの類推、第三者中継診断)

クラウドセキュリティ診断

パブリッククラウド環境(AWS/Azure/
GCP)のセキュリティ対策状況を把握することが可能です。

無線LAN診断

社内に設置した無線LANアクセスポイントなどを入口として社内ネットワークに侵入される可能性がないか、無線LANの脆弱性を診断します。

ホスト型診断

お客さま先(オンサイト)にて、対象となるホスト(サーバー)に実際にログインし、OSやミドルウェアのセキュリティ設定やユーザー/パスワード管理、パッチ適用が適切に実施されているかを確認します。具体的には、対象となるホスト上に、設定情報収集ツールをコピーし、ツールを実行することで作成される結果ファイルを解析します。

診断レベル
  • セキュリティパッチの適用状態に関する診断
  • パスワード設定に関する診断
  • アカウント設定に関する診断
  • ログイン設定に関する診断
  • ネットワーク設定に関する診断
  • システム監査設定に関する診断
  • スタートアップ設定(稼働サービス)に関する診断
  • ユーザーファイル設定(アクセス権限など)に関する診断

個別アプリケーション診断(ファジング)

情報システムだけでなく、組み込み機器や制御システムを含めた、さまざまな個別アプリケーションの通信に存在する脆弱性を独自の診断ツールを使用して診断します。また、攻撃者がシステム侵入時に入口として利用する脆弱性の有無を診断します。

ペネトレーションテスト

従来の脆弱性を摘出するセキュリティ診断にくわえて、さらに当該脆弱性を突いて内部への侵入を試みるサービスです。

作業期間

以下は最短期間です。作業期間は、Webコンテンツの遷移数やIPアドレス数により左右されます。また選択される診断レベルによっても異なります。
・Webアプリケーション診断:3週間から
・ネットワーク診断:2週間から
・ホスト型診断:2週間から
・個別アプリケーション診断:3週間から

価格

個別見積もり

紹介動画

セキュリティ診断サービスのご紹介

セキュリティ診断
サービスのカタログ

セキュリティ診断
サービスの導入事例

セキュリティコンサルティング コンテンツ一覧

関連商品・キーワード