ページの本文へ

Hitachi

セキュリティコンサルティング セキュリティコンサルティング

セキュリティ診断サービス(脆弱性診断)

概要

■セキュリティ診断(脆弱性診断)診断とは
セキュリティ診断とは、Webアプリケーションやネットワーク機器、OS・ミドルウェアなどに脆弱性がないかを疑似攻撃により調査することです。
診断方法には、ツールを利用したものと専門の技術者が手動で行うものがあり、攻撃者の視点でセキュリティリスクを洗い出すことができます。

■セキュリティ診断(脆弱性診断)が必要な理由
脆弱性を放置しておくと、そこから攻撃を受けるリスクが高まります。マルウェア感染や不正アクセスによって機密情報の漏洩が起こらないようにするためにも、脆弱性の早期発見が必要です。
しかし実際は、脆弱性を放置している企業は少なくありません。システム開発時にセキュリティ診断を実施していたとしても、攻撃手法は日々進化しており、いつ顧客情報や機密情報などを抜き取られてもおかしくない状況です。そのためセキュリティ診断は、定期的に実施することが重要です。

■日立ソリューションズのセキュリティ診断サービス(脆弱性診断)
セキュリティ診断(脆弱性診断)の方法として手軽に使える「フリーの簡易診断ツール」も存在しますが、こういったツールはあくまで簡易的なもので、脆弱性を見逃す可能性があります。
日立ソリューションズのセキュリティ診断サービスは専門技術者が脆弱性診断を実施、お客様にご提供。Webアプリケーションやネットワーク機器、OSやミドルウェアが外部から不正にアクセスされるような脆弱性はないか、不要な通信ポートから攻撃されるような脆弱性がないかなど、用途に応じ、さまざまな脆弱性を摘出し、結果を分かりやすくお客様にご報告します。

セキュリティ診断(脆弱性診断)とペネトレーションテストの違いについては、「ペネトレーションテストと脆弱性診断の違いから理解するペネトレーションテストの必要性」をご覧ください。

セキュリティ診断サービスの概要

特長

  • 高度なセキュリティ診断ツールなどを利用することで、新たな脆弱性にもいち早く対応し、網羅的な診断が可能です。
  • 高度なセキュリティやハッキング知識を有する専任技術者(ホワイトハッカー)がさまざまな手法やツールを駆使し、疑似攻撃を試行することで、ツールでは発見できない脆弱性についても調査、摘出できます。
  • 診断において発見された脆弱性については、報告書として分かりやすくまとめます。この内容をもとに、お客様にて適切な対策を行えます。

サービス内容

Webアプリケーション診断

お客様にて作成されたWebコンテンツに対し、SQLインジェクションやクロスサイトスクリプティングなどに代表されるWebアプリケーション特有の脆弱性がないかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、専任技術者(ホワイトハッカー)による手動診断を含めたプロフェッショナル診断の2種類があります。

診断レベル サービス内容
スタンダード
  • SQLインジェクション診断
  • OSコマンドインジェクション診断
  • パラメーター改ざん診断
  • クロスサイトスクリプティング診断
  • クッキーのセキュリティ属性設定診断
  • 不要なエラーコード診断
  • バッファオーバーフロー診断
  • セッションフィクセーション診断
  • クロスサイト・リクエスト・フォージェリ診断
プロフェッショナル
  • 「スタンダード」の内容
  • デフォルトインストール状態で存在する脆弱なファイルの確認
  • 隠しURLの検索
  • 不要HTTPコマンドの実装
  • 顧客情報データ取得の試行
  • 管理者権限取得の試行
  • ブルートフォース、脆弱性を利用した認証突破の試行
  • その他ツールでの判断が難しい、パラメーターの機能類推や独特の画面遷移などを意識した、手動診断による脆弱点の確認

ネットワーク型診断

お客様のシステムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対する脆弱性が存在しないかどうかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、専任技術者(ホワイトハッカー)による手動診断を含めたプロフェッショナル診断の2種類があります。

診断レベル サービス内容
スタンダード
  • 脆弱性診断ツールによる脆弱性診断
  • 使用OS・バージョンの特定と脆弱性確認
  • 使用アプリケーション・バージョンの特定と脆弱性確認
  • 上位ポートを含めたTCP/UDP全ポートスキャン(1~65535番)によるポートの公開状態確認
プロフェッショナル
  • 「スタンダード」の内容
  • ポートスキャンにて発見されたポートにて稼働しているサービスの確認および手動での脆弱性調査
  • (例)
  • DNS脆弱性調査(ゾーン転送、再帰呼出しによるキャッシュ汚染)
  • メールサーバー脆弱性調査(不正中継・メールアカウント搾取)
  • SNMPによるサーバー情報取得
  • その他使用サービスの脆弱性確認

クラウドセキュリティ診断

パブリッククラウド環境(AWS/Azure/GCP)のセキュリティ対策状況を把握することが可能です。
詳しくはこちら

無線LAN診断

社内に設置した無線LANアクセスポイントなどを入口として社内ネットワークに侵入される可能性がないか、無線LANの脆弱性を診断します。

ホスト型診断

お客様先(オンサイト)にて、対象となるホスト(サーバー)に実際にログインし、OSやミドルウェアのセキュリティ設定やユーザー/パスワード管理、パッチ適用が適切に実施されているかを確認します。具体的には、対象となるホスト上に、設定情報収集ツールをコピーし、ツールを実行することで作成される結果ファイルを解析します。

診断レベル
  • セキュリティパッチの適用状態に関する診断
  • パスワード設定に関する診断
  • アカウント設定に関する診断
  • ログイン設定に関する診断
  • ネットワーク設定に関する診断
  • システム監査設定に関する診断
  • スタートアップ設定(稼働サービス)に関する診断
  • ユーザーファイル設定(アクセス権限など)に関する診断

個別アプリケーション診断(ファジング)

組み込み機器や制御システムを含めた、さまざまな個別アプリケーションの通信に存在する脆弱性を独自の診断ツールを使用して診断します。また、攻撃者がシステム侵入時に入口として利用する脆弱性の有無を診断します。

ペネトレーションテスト

従来の脆弱性を摘出するセキュリティ診断に加えて、さらに当該脆弱性を突いて内部への侵入を試みるサービスです。
詳しくはこちら

作業期間

以下は最短期間です。作業期間は、Webコンテンツの遷移数やIPアドレス数により左右されます。また選択される診断レベルによっても異なります。
・Webアプリケーション診断:3週間~
・ネットワーク診断:2週間~
・ホスト型診断:2週間~
・個別アプリケーション診断:3週間~

価格

個別見積り

<セキュリティ診断サービスのご紹介>

セキュリティ診断サービスの紹介カタログ
ページTOPへ
メニュー
ページの先頭へ