日立ソリューションズ『セキュリティ診断サービス』のご案内です。

「エクスプレス」の内容を含み、以下を実施。

• TCP/UDPポートスキャンをフルポート（1～65535）まで拡張して実施。
• 脆弱性検査ツールで検出された脆弱点に対し、誤検出かどうかをセキュリティに精通した診断作業者によるマニュアル(手動）診断で再確認。
• 再確認結果を弊社見解として「セキュリティ診断報告書」に追記。

「スタンダード」の内容を含み、以下を実施。

• ポートスキャンで発見したポート（＝公開されているサービス）に対して、セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。セキュリティホールの有無をキーオペレーションにて確認する。
• マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。

「スタンダード」の内容を含み、以下を実施。

• セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。お客様アプリケーション固有の画面遷移、パラメータ名などからの機能の類推など、ツールだけでは判断できないセキュリティホールの有無をキーオペレーションにて確認する。
• マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。
• お客様先で、「セキュリティ診断報告書」をもととしたオンサイト報告会を実施。

• 脆弱性診断ツールによる脆弱性診断
• TCP/UDP下位ポートスキャン(1～1024番)によるポートの公開状態確認

• 脆弱性診断ツールによる脆弱性診断
• 使用OS・バージョンの特定と脆弱性確認
• 使用アプリケーション・バージョンの特定と脆弱性確認
• 上位ポートを含めたTCP/UDP全ポートスキャン(1～65535番)によるポートの公開状態確認

• 「スタンダード」の内容
• ポートスキャンにて発見されたポートにて稼働しているサービスの確認および手動での脆弱性調査

(例)

• DNS脆弱性調査（ゾーン転送、再帰呼出しによるキャッシュ汚染）
• メールサーバ脆弱性調査（不正中継・メールアカウント搾取）
• SNMPによるサーバ情報取得
• その他使用サービスの脆弱性確認

• SQLインジェクション診断
• OSコマンドインジェクション診断
• パラメータ改ざん診断
• クロスサイトスクリプティング診断
• クッキーのセキュリティ属性設定診断
• 不要なエラーコード診断
• バッファオーバーフロー診断
• セッションフィクセーション診断
• クロスサイト・リクエスト・フォージェリ診断

• 「スタンダード」の内容
• デフォルトインストール状態で存在する脆弱なファイルの確認
• 隠しURLの検索
• 不要HTTPコマンドの実装
• 顧客情報データ取得の試行
• 管理者権限取得の試行
• ブルートフォース、脆弱性を利用した認証突破の試行
• その他ツールでの判断が難しい、パラメータの機能類推や独特の画面遷移などを意識した、手動診断による脆弱点の確認

• セキュリティパッチの適用状態に関する診断
• パスワード設定に関する診断
• アカウント設定に関する診断
• ログイン設定に関する診断
• ネットワーク設定に関する診断
• システム監査設定に関する診断
• スタートアップ設定(稼働サービス)に関する診断
• ユーザファイル設定(アクセス権限など)に関する診断