ホワイトハッカーによるセキュリティ診断
セキュリティ診断サービス
自社ネットワークやアプリケーションのセキュリティ状況を第三者視点でチェック
システムにおいて100%安全なものはなく、必ずぜい弱性が存在します。
そのため、多くの企業がコストをかけてシステムのセキュリティチェックを実施していますが、全てのぜい弱性の確認・対策を社内の人間が実施するには時間的制約、人的制約から見て限界があります。
そのような課題に対して当社は専任技術者(ホワイトハッカー)によるセキュリティ診断サービスを提供します。
セキュリティ診断サービスのメニューには「ネットワーク型診断サービス」「Webアプリケーション診断サービス」を用意しており、多種多様なOS/アプリケーションに対応したセキュリティ診断をご提供します。
また、セキュリティ診断ツールでの確認だけでなく、ホワイトハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、より詳細なセキュリティ診断が可能です。
「セキュリティ診断サービス」では
このような課題を解決します!
- 自社サービス・システムのセキュリティを第三者の視点から診断したい
- ホワイトハッカーによる診断により潜在的なぜい弱性を発見し、セキュリティ対策を実施
『セキュリティ診断サービス』の特長
高度なセキュリティ診断ツールによる網羅的な診断
- 高度なセキュリティ診断ツールを使用することで、新しいぜい弱性に対応した診断が可能
- 各種UNIX/Linux/WindowsマシンのOSおよび搭載されているアプリケーション、ルータ、ファイアウォールなどのネットワーク機器に対応した9万種類以上を診断可能
【利用診断ツール:nexpose(Rapid7 社製)】
診断対象の各種ネットワーク機器/OS/ミドルウェアに対して、世の中に公開されたぜい弱性が存在するかどうかをネットワーク経由で診断するぜい弱性スキャナ
【nexposeの特長/利用実績】
- 誤検知/検知漏れが少ない、業界トップレベルの精度を実現
- 業界最大のぜい弱性データベース(4万種以上のぜい弱性DB、約70万種のシグネチャ)を所持
- 各種業界セキュリティ基準に対応した「スキャンテンプレート」により、お客さまの基準を満たすために必要な項目のみ検査可能
- 一般的なIT機器へのぜい弱性テンプレートに加え、PCI-DSSをはじめとした監査用テンプレートを22種類以上所持
- 擬似的にサービス不能攻撃を行う検査も選択可能
- Rapid7社はさまざまな業界の幅広い顧客や政府機関に製品とサービスを提供しており、米国連邦政府においては、請負業者から情報部や国防省まで広範囲に渡る省庁に採用されています
- ワールドクラスのパートナーとの提携(Microsoft社、CISCO社、Palo Alto Networks社、REDSEAL社、VMWare社など)
高度な知識を持つ専任技術者(ホワイトハッカー)による診断
- 高度なセキュリティやハッキング知識を有する専任技術者(ホワイトハッカー)がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施
- 人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能
ホワイトハッカーとは?
ホワイトハッカーとは、コンピューターやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。
昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハッカーの育成に注力しています。
このような背景の中、日立ソリューションズ・クリエイトでも2016年に社内ワーキンググループを立ち上げ、ホワイトハッカーを育成しています。
ホワイトハッカー育成の取り組み
提供サービス
ネットワーク型診断サービス
システムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールの有無をインターネット経由(リモート)、あるいはお客さま先(オンサイト)で診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。
- セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
- セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施
■ネットワーク型診断サービス項目一覧
●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断
診断項目 | ネットワーク型診断 | ||
---|---|---|---|
スタンダード | プロフェッショナル | ||
標 準 提 供 |
ICMP ECHO要求に対する応答の確認 | ● |
○ |
ぜい弱性スキャナ(Nexpose)による診断 | ● |
○ |
|
下位ポートスキャン(1〜1023) | ● |
○ |
|
上位ポートスキャン(1024〜65535) | ● |
○ |
|
OS情報の確認 | ○ |
||
動作アプリケーションの確認 | ○ |
||
ゾーン転送・bindバージョン照会によるDNSサーバぜい弱性検査 | ○ |
||
メールサーバの不正中継診断・メールアカウントの類推 | ○ |
||
SNMPサービスぜい弱性診断 | ○ |
||
FTPサービスぜい弱性診断 | ○ |
||
Webサービスぜい弱性診断 | ○ |
||
その他の起動サービスのぜい弱性診断 | ○ |
||
そ の 他 |
オンサイト報告会 | オプション提供 | |
再診断(修正後の再確認をセットでご提供) | オプション提供 | ||
夜間診断 | オプション提供 | ||
休日診断 | オプション提供 |
Webアプリケーション診断サービス
お客さまにて作成されたWebコンテンツに対して、SQLインジェクションなどに代表されるWebアプリケーション特有のセキュリティホールの有無をネットワーク経由にて診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。
- セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
- セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施
Webアプリケーション診断項目一覧
●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断
診断項目 | Webアプリケーション診断 | ||
---|---|---|---|
スタンダード | プロフェッショナル | ||
標 準 提 供 |
クロスサイトスクリプティング | ● |
○ |
SQLインジェクション | ● |
○ |
|
OSコマンドインジェクション | ● |
○ |
|
ディレクトリリスティング | ● |
○ |
|
パストラバーサル | ○ |
||
セッションハイジャックの試み | ○ |
||
エラーページの検証 | ○ |
||
認証・セッション管理 | ○ |
||
強制ブラウジング | ○ |
||
複数のパラメータ同時改ざん | ○ |
||
Webアプリケーションのぜい弱性を利用した「なりすまし」 | ○ |
||
論理的なぜい弱性(価格改ざんなど)*1 | ○ |
||
そ の 他 |
オンサイト報告会 | オプション提供 | |
画面選定ご支援 | オプション提供 | ||
再診断(修正後の再確認をセットでご提供) | オプション提供 | ||
夜間診断 | オプション提供 | ||
休日診断 | オプション提供 |
- *1ツールでは検出が困難なぜい弱性(「パラメータ名」や「アプリケーションの挙動」などから攻撃方法が考察できるぜい弱性)を診断します。
参考価格
セキュリティ診断価格につきましては、お客さまシステムの概要、希望診断内容をお聞きしたうえで提示いたします。
価格については、以下よりお問い合わせください。
自社だけでは見落としがちなセキュリティの盲点を、第三者の視点から発見
当社のセキュリティ診断サービスでは専任技術者(ホワイトハッカー)が定期的にお客さまのシステムを診断し、セキュリティ診断で発見したぜい弱性について、その内容と対策方法をセキュリティ診断報告書にわかりやすくまとめて提示します。 システム構築やアプリケーション開発時におけるセキュリティの不安、定期的なセキュリティチェックを行いたいなどのご相談がありましたら、ぜひお問い合わせください。