ページの本文へ

Hitachi
お問い合わせお問い合わせ

ホワイトハッカーによるセキュリティ診断

セキュリティ診断サービス

システムにおいて100%安全なものはなく、必ずぜい弱性が存在します。
そのため、多くの企業がコストをかけてシステムのセキュリティチェックを実施していますが、全てのぜい弱性の確認・対策を社内の人間が実施するには時間的制約、人的制約から見て限界があります。
そのような課題に対して当社は専任技術者(ホワイトハッカー)によるセキュリティ診断サービスを提供します。

セキュリティ診断サービスのメニューには「ネットワーク型診断サービス」「Webアプリケーション診断サービス」を用意しており、多種多様なOS/アプリケーションに対応したセキュリティ診断をご提供します。
また、セキュリティ診断ツールでの確認だけでなく、ホワイトハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、より詳細なセキュリティ診断が可能です。

このような課題を解決します!

課題

  • 自社サービス・システムのセキュリティを第三者の視点から診断したい

解決

  • ホワイトハッカーによる診断により潜在的なぜい弱性を発見し、セキュリティ対策を実施

『セキュリティ診断サービス』の特長

高度なセキュリティ診断ツールによる網羅的な診断

セキュリティ診断サービスにより網羅的にセキュリティ状況を診断
  • 高度なセキュリティ診断ツールを使用することで、新しいぜい弱性に対応した診断が可能
  • 各種UNIX/Linux/WindowsマシンのOSおよび搭載されているアプリケーション、ルータ、ファイアウォールなどのネットワーク機器に対応した9万種類以上を診断可能

【利用診断ツール:nexpose(Rapid7 社製)】

診断対象の各種ネットワーク機器/OS/ミドルウェアに対して、世の中に公開されたぜい弱性が存在するかどうかをネットワーク経由で診断するぜい弱性スキャナ

【nexposeの特長/利用実績】

  • 誤検知/検知漏れが少ない、業界トップレベルの精度を実現
    • 業界最大のぜい弱性データベース(4万種以上のぜい弱性DB、約70万種のシグネチャ)を所持
    • 各種業界セキュリティ基準に対応した「スキャンテンプレート」により、お客さまの基準を満たすために必要な項目のみ検査可能
  • 一般的なIT機器へのぜい弱性テンプレートに加え、PCI-DSSをはじめとした監査用テンプレートを22種類以上所持
  • 擬似的にサービス不能攻撃を行う検査も選択可能
  • Rapid7社はさまざまな業界の幅広い顧客や政府機関に製品とサービスを提供しており、米国連邦政府においては、請負業者から情報部や国防省まで広範囲に渡る省庁に採用されています
  • ワールドクラスのパートナーとの提携(Microsoft社、CISCO社、Palo Alto Networks社、REDSEAL社、VMWare社など)

高度な知識を持つ専任技術者(ホワイトハッカー)による診断

高度な知識を持つ専任技術者がセキュリティ診断を実施
  • 高度なセキュリティやハッキング知識を有する専任技術者(ホワイトハッカー)がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施
  • 人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能

ホワイトハッカーとは?

ホワイトハッカーとは、コンピューターやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。
昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハッカーの育成に注力しています。
このような背景の中、日立ソリューションズ・クリエイトでも2016年に社内ワーキンググループを立ち上げ、ホワイトハッカーを育成しています。


提供サービス


ネットワーク型診断サービス

システムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールの有無をインターネット経由(リモート)、あるいはお客さま先(オンサイト)で診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

セキュリティ診断サービス 診断結果報告書
  • セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
  • セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施

■ネットワーク型診断サービス項目一覧

●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断

診断項目 ネットワーク型診断
スタンダード プロフェッショナル



ICMP ECHO要求に対する応答の確認

ぜい弱性スキャナ(Nexpose)による診断

下位ポートスキャン(1〜1023)

上位ポートスキャン(1024〜65535)

OS情報の確認

動作アプリケーションの確認

ゾーン転送・bindバージョン照会によるDNSサーバぜい弱性検査

メールサーバの不正中継診断・メールアカウントの類推

SNMPサービスぜい弱性診断

FTPサービスぜい弱性診断

Webサービスぜい弱性診断

その他の起動サービスのぜい弱性診断



オンサイト報告会 オプション提供
再診断(修正後の再確認をセットでご提供) オプション提供
夜間診断 オプション提供
休日診断 オプション提供

Webアプリケーション診断サービス

お客さまにて作成されたWebコンテンツに対して、SQLインジェクションなどに代表されるWebアプリケーション特有のセキュリティホールの有無をネットワーク経由にて診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

セキュリティ診断サービス 診断結果報告書
  • セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
  • セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施

Webアプリケーション診断項目一覧

●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断

診断項目 Webアプリケーション診断
スタンダード プロフェッショナル



クロスサイトスクリプティング

SQLインジェクション

OSコマンドインジェクション

ディレクトリリスティング

パストラバーサル

セッションハイジャックの試み

エラーページの検証

認証・セッション管理

強制ブラウジング

複数のパラメータ同時改ざん

Webアプリケーションのぜい弱性を利用した「なりすまし」

論理的なぜい弱性(価格改ざんなど)*1



オンサイト報告会 オプション提供
画面選定ご支援 オプション提供
再診断(修正後の再確認をセットでご提供) オプション提供
夜間診断 オプション提供
休日診断 オプション提供
  • *1ツールでは検出が困難なぜい弱性(「パラメータ名」や「アプリケーションの挙動」などから攻撃方法が考察できるぜい弱性)を診断します。

関連キーワード