ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

ホワイトハッカーによるセキュリティ診断 セキュリティ診断サービス

システムにおいて100%安全なものはなく、必ずぜい弱性が存在します。
そのため、多くの企業がコストをかけてシステムのセキュリティチェックを実施していますが、全てのぜい弱性の確認・対策を社内の人間が実施するには時間的制約、人的制約から見て限界があります。
そのような課題に対して当社は専任技術者(ホワイトハッカー)によるセキュリティ診断サービスを提供します。

セキュリティ診断サービスのメニューには「ネットワーク型診断サービス」「Webアプリケーション診断サービス」を用意しており、多種多様なOS/アプリケーションに対応したセキュリティ診断をご提供します。
また、セキュリティ診断ツールでの確認だけでなく、ホワイトハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、より詳細なセキュリティ診断が可能です。

このような課題を解決します!

課題

  • 自社サービス・システムのセキュリティを第三者の視点から診断したい

解決

  • ホワイトハッカーによる診断により潜在的なぜい弱性を発見し、セキュリティ対策を実施

『セキュリティ診断サービス』の特長

高度なセキュリティ診断ツールによる網羅的な診断

  • 高度なセキュリティ診断ツールを使用することで、新しいぜい弱性に対応した診断が可能
  • 各種UNIX/Linux/WindowsマシンのOSおよび搭載されているアプリケーション、ルータ、ファイアウォールなどのネットワーク機器に対応した9万種類以上を診断可能

【利用診断ツール:nexpose(Rapid7 社製)】

診断対象の各種ネットワーク機器/OS/ミドルウェアに対して、世の中に公開されたぜい弱性が存在するかどうかをネットワーク経由で診断するぜい弱性スキャナ

【nexposeの特長/利用実績】

  • 誤検知/検知漏れが少ない、業界トップレベルの精度を実現
    • 業界最大のぜい弱性データベース(4万種以上のぜい弱性DB、約70万種のシグネチャ)を所持
    • 各種業界セキュリティ基準に対応した「スキャンテンプレート」により、お客さまの基準を満たすために必要な項目のみ検査可能
  • 一般的なIT機器へのぜい弱性テンプレートに加え、PCI-DSSをはじめとした監査用テンプレートを22種類以上所持
  • 擬似的にサービス不能攻撃を行う検査も選択可能
  • Rapid7社はさまざまな業界の幅広い顧客や政府機関に製品とサービスを提供しており、米国連邦政府においては、請負業者から情報部や国防省まで広範囲に渡る省庁に採用されています
  • ワールドクラスのパートナーとの提携(Microsoft社、CISCO社、Palo Alto Networks社、REDSEAL社、VMWare社など)

高度な知識を持つ専任技術者(ホワイトハッカー)による診断

  • 高度なセキュリティやハッキング知識を有する専任技術者(ホワイトハッカー)がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施
  • 人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能

【ホワイトハッカーとは?】

ホワイトハッカーとは、コンピュータやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。
昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハッカーの育成に注力しています。
このような背景の中、日立ソリューションズ・クリエイトでも2016年に社内ワーキンググループを立ち上げ、ホワイトハッカーを育成しています。

◆ホワイトハッカー育成の取り組みについては、以下の動画で紹介しています。

【動画】日立ソリューションズグループのセキュリティソリューションを支えるホワイトハッカーたち

「セキュリティ診断報告書」で診断結果を分かりやすく報告

  • セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示
  • セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施

【診断報告書の例:ネットワーク型診断】

提供サービス

ネットワーク型診断サービス

システムを構成するサーバやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールの有無をインターネット経由(リモート)、あるいはお客さま先(オンサイト)で診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

  • スタンダード

    ◆サービスポートの確認(1〜65535番)

    ◆ぜい弱性スキャナツールによる通常攻撃診断

    ◆ぜい弱性スキャナツールによる使用不能(DOS)攻撃診断

    ◆報告書の作成・送付

  • プロフェッショナル(スタンダードの内容に加えて、以下の診断を実施)

    ◆オープンポートによる手動診断
     DNSぜい弱性調査(ゾーン転送、再帰問合せ)
     メールサーバぜい弱性調査(不正中継・メールアカウントの類推)

■ネットワーク型診断サービス項目一覧

●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断

診断項目 ネットワーク型診断
スタンダード プロフェッショナル



ICMP ECHO要求に対する応答の確認
ぜい弱性スキャナ(Nexpose)による診断
下位ポートスキャン(1〜1023)
上位ポートスキャン(1024〜65535)
OS情報の確認
動作アプリケーションの確認
ゾーン転送・bindバージョン照会によるDNSサーバぜい弱性検査
メールサーバの不正中継診断・メールアカウントの類推
SNMPサービスぜい弱性診断
FTPサービスぜい弱性診断
Webサービスぜい弱性診断
その他の起動サービスのぜい弱性診断


オンサイト報告会 オプション提供
再診断(修正後の再確認をセットでご提供) オプション提供
夜間診断 オプション提供
休日診断 オプション提供

Webアプリケーション診断サービス

お客さまにて作成されたWebコンテンツに対して、SQLインジェクションなどに代表されるWebアプリケーション特有のセキュリティホールの有無をネットワーク経由にて診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

  • スタンダード

    ◆Webアプリケーション検査ツールによる疑似攻撃診断

    ◆報告書の作成・送付

  • プロフェッショナル(スタンダードの内容に加えて、以下の診断を実施)

    ◆ホワイトハッカーによる手動診断

    ◆危険度の大きいぜい弱性について速報の作成・送付

    ◆診断報告会の実施

Webアプリケーション診断項目一覧

●:商用ツールによる診断のみ ○:商用ツール+ホワイトハッカーによる手動診断

診断項目 Webアプリケーション診断
スタンダード プロフェッショナル



クロスサイトスクリプティング
SQLインジェクション
OSコマンドインジェクション
ディレクトリリスティング
パストラバーサル
セッションハイジャックの試み
エラーページの検証
認証・セッション管理
強制ブラウジング
複数のパラメータ同時改ざん
Webアプリケーションのぜい弱性を利用した「なりすまし」
論理的なぜい弱性(価格改ざんなど)*1


オンサイト報告会 オプション提供
画面選定ご支援 オプション提供
再診断(修正後の再確認をセットでご提供) オプション提供
夜間診断 オプション提供
休日診断 オプション提供
  • *1ツールでは検出が困難なぜい弱性(「パラメータ名」や「アプリケーションの挙動」などから攻撃方法が考察できるぜい弱性)を診断します。

関連キーワード