日立ソリューションズグループのセキュリティソリューションを支えるホワイトハットハッカーたち
セキュリティ診断サービスとは
システムにおいて100%安全なものはなく、必ずぜい弱性が存在します。
そのため、多くの企業がコストをかけてシステムのセキュリティチェックを実施していますが、全てのぜい弱性の確認・対策を社内の人間が実施するには時間的制約、人的制約から見て限界があります。
そのような課題に対して当社は専任技術者(ホワイトハットハッカー)によるセキュリティ診断サービスを提供します。
セキュリティ診断サービスのメニューには「ネットワーク型診断サービス」「Webアプリケーション診断サービス」「ペネトレーションテスト」を用意しており、多種多様なOS/アプリケーションに対応したセキュリティ診断をご提供します。
また、セキュリティ診断ツールでの確認だけでなく、ホワイトハットハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、より詳細なセキュリティ診断が可能です。
ホワイトハットハッカーによるセキュリティ診断「セキュリティ診断サービス」では
このような課題を解決します!
- 課題
-
自社サービス・システムのセキュリティを第三者の視点から診断したい
- 解決
-
ホワイトハットハッカーによる診断により潜在的なぜい弱性を発見し、セキュリティ対策を実施
特長
高度なセキュリティ診断ツールによる網羅的な診断
- 高度なセキュリティ診断ツールを使用することで、新しいぜい弱性に対応した診断が可能
- 各種UNIX/Linux/WindowsマシンのOSおよび搭載されているアプリケーション、ルータ、ファイアウォールなどのネットワーク機器に対応した9万種類以上を診断可能
【利用診断ツール:nexpose(Rapid7 社製)】
診断対象の各種ネットワーク機器/OS/ミドルウェアに対して、世の中に公開されたぜい弱性が存在するかどうかをネットワーク経由で診断するぜい弱性スキャナ
【nexposeの特長/利用実績】
- 誤検知/検知漏れが少ない、業界トップレベルの精度を実現
- 業界最大のぜい弱性データベース(4万種以上のぜい弱性DB、約70万種のシグネチャ)を所持
- 各種業界セキュリティ基準に対応した「スキャンテンプレート」により、お客さまの基準を満たすために必要な項目のみ検査可能
- 一般的なIT機器へのぜい弱性テンプレートに加え、PCI-DSSをはじめとした監査用テンプレートを22種類以上所持
- 擬似的にサービス不能攻撃を行う検査も選択可能
- Rapid7社はさまざまな業界の幅広い顧客や政府機関に製品とサービスを提供しており、米国連邦政府においては、請負業者から情報部や国防省まで広範囲に渡る省庁に採用されています
- ワールドクラスのパートナーとの提携(Microsoft社、CISCO社、Palo Alto Networks社、REDSEAL社、VMWare社など)
高度な知識を持つ専任技術者(ホワイトハットハッカー)による診断
- 高度なセキュリティやハッキング知識を有する専任技術者(ホワイトハットハッカー)がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施
- 人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能
ホワイトハットハッカーとは?
ホワイトハットハッカーとは、コンピューターやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。
昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハットハッカーの育成に注力しています。
このような背景の中、日立ソリューションズ・クリエイトでも2016年に社内ワーキンググループを立ち上げ、ホワイトハットハッカーを育成しています。
提供サービス
ネットワーク型診断サービス
システムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールの有無をインターネット経由(リモート)、あるいはお客さま先(オンサイト)で診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。
診断結果報告書例(ネットワーク型診断)
- セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
- セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施
ネットワーク型診断サービス項目一覧
●:商用ツールによる診断のみ ○:商用ツール+ホワイトハットハッカーによる手動診断
| 診断項目 | ネットワーク型診断 | ||
|---|---|---|---|
| スタンダード | プロフェッショナル | ||
| 標準提供 | ICMP ECHO要求に対する応答の確認 | ● |
○ |
| ぜい弱性スキャナ(Nexpose)による診断 | ● |
○ |
|
| 下位ポートスキャン(1〜1023) | ● |
○ |
|
| 上位ポートスキャン(1024〜65535) | ● |
○ |
|
| OS情報の確認 | ○ |
||
| 動作アプリケーションの確認 | ○ |
||
| ゾーン転送・bindバージョン照会によるDNSサーバぜい弱性検査 | ○ |
||
| メールサーバの不正中継診断・メールアカウントの類推 | ○ |
||
| SNMPサービスぜい弱性診断 | ○ |
||
| FTPサービスぜい弱性診断 | ○ |
||
| Webサービスぜい弱性診断 | ○ |
||
| その他の起動サービスのぜい弱性診断 | ○ |
||
| その他 | オンサイト報告会 | オプション提供 | |
| 再診断(修正後の再確認をセットでご提供) | オプション提供 | ||
| 夜間診断 | オプション提供 | ||
| 休日診断 | オプション提供 | ||
Webアプリケーション診断サービス
お客さまにて作成されたWebコンテンツに対して、SQLインジェクションなどに代表されるWebアプリケーション特有のセキュリティホールの有無をネットワーク経由にて診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。
診断結果報告書例(Webアプリケーション診断(プロフェッショナル))
- セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
- セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施
Webアプリケーション診断項目一覧
●:商用ツールによる診断のみ ○:商用ツール+ホワイトハットハッカーによる手動診断
| 診断項目 | Webアプリケーション診断 | ||
|---|---|---|---|
| スタンダード | プロフェッショナル | ||
| 標準提供 | クロスサイトスクリプティング | ● |
○ |
| SQLインジェクション | ● |
○ |
|
| OSコマンドインジェクション | ● |
○ |
|
| ディレクトリリスティング | ● |
○ |
|
| パストラバーサル | ○ |
||
| セッションハイジャックの試み | ○ |
||
| エラーページの検証 | ○ |
||
| 認証・セッション管理 | ○ |
||
| 強制ブラウジング | ○ |
||
| 複数のパラメータ同時改ざん | ○ |
||
| Webアプリケーションのぜい弱性を利用した「なりすまし」 | ○ |
||
| 論理的なぜい弱性(価格改ざんなど)*1 | ○ |
||
| その他 | オンサイト報告会 | オプション提供 | |
| 画面選定ご支援 | オプション提供 | ||
| 再診断(修正後の再確認をセットでご提供) | オプション提供 | ||
| 夜間診断 | オプション提供 | ||
| 休日診断 | オプション提供 | ||
- *1
- ツールでは検出が困難なぜい弱性(「パラメータ名」や「アプリケーションの挙動」などから攻撃方法が考察できるぜい弱性)を診断します。
ペネトレーションテスト
ホワイトハットハッカーによる手動診断と、自動化ツールを活用した低コスト・短期間メニューの2つを用意。お客さまの目的・予算・体制に合わせた最適なペネトレーションテストを提供します。
手動ペネトレーションテスト
情報処理安全確保支援士・CEHなどの高度なセキュリティ資格を持つ専任診断員が担当。お客さまのシステムに合わせた攻撃シナリオを設計し、リモート・オンサイトの両方式で実際の侵入リスクを徹底的に検証します。
| メニュー名 | 概要 | 実施期間 |
|---|---|---|
| ペネトレーションテストサービス プロフェッショナル版 |
最新の攻撃手法と多様なツールを駆使してシステムの潜在的なぜい弱性を確認し、具体的な対策を提案します。 | 4カ月程度を目安に個別相談(例:計画2カ月+テスト実施1カ月+報告1カ月) |
自動ペネトレーションテスト
「Immortal Cyber Teams AutoPT」(以下AutoPT)を活用し、攻撃者視点でネットワーク・アプリケーションへのブラックボックス型診断を自動実行。
低コスト・短期間(1カ月~)で繰り返し実施でき、継続的なセキュリティ評価を行えます。
| メニュー名 | 概要 | ライセンス |
|---|---|---|
| Immortal Cyber Teams AutoPTライセンス | 年間利用ライセンスです。お客さまの目的や実施したいタイミングに合わせて、ご利用いただけます。
|
ー |
| Immortal Cyber Teams AutoPT活用支援サービス | ご購入いただいたAutoPTライセンスを安心してご活用いただくために、お客さまの要望に合わせて当社のホワイトハットハッカーが以下の作業を代行します。自社でのテスト運用を始めたいが、立ち上げや実施に不安をお持ちの方向けです。
|
別途必要 |
| ペネトレーションテストサービススタンダード版 | AutoPTを活用して、当社のホワイトハットハッカーが以下の作業を実施します。ペネトレーションテストをお試しになりたい方、必要なタイミングで柔軟にご依頼されたい方向けです。
|
不要 |
お役立ち情報
導入を検討する上で役立つ情報をご紹介します。