SECURITY SOLUTION
セキュリティソリューション事業部
ITシステムの脆弱性診断およびセキュリティ技術者派遣、教育研修を行っています。
脆弱性診断サービス
脆弱性診断サービスについて
ねらい・効果
ITシステムの脆弱性を洗い出してそのリスクを評価することで、ITシステムとその利用者、すなわち貴社のビジネスとそのお客様にふりかかる脅威に対抗する適切かつ効果的な解決策を検討・選択していただくことをご支援いたします。
当社の強み
ITシステムの開発・保守運用、およびセキュリティの経験やノウハウを持った専門家チームが、貴社の課題やITシステムの特性を踏まえてスピーディな問題解決をご提案いたします。
メニュー
ITシステムの構成毎にメニューをご用意しています。(下図はクリックで拡大します)
Webアプリケーション脆弱性診断サービス
セキュリティ対策までの道のり
適切なセキュリティ対策とは?
- 「脆弱性を減らす、なくす」…アプリケーションプログラムの改修、設定の見直し、セキュリティパッチの適用など
- 「攻撃を防ぐ」…IPS、IDS、UTM、、WAFの導入
- 「不測の事態に備える」…改ざん検知、セキュリティ監視
有料診断プラン
脆弱性診断ツールと専門の診断員による手操作での確認を組み合わせて、きめ細かく、深く診断をいたします。CMS、EC、ソーシャル、ゲーム、Webサービス(API)など幅広く対応いたします。
- エコノミープラン
- はじめて診断を受診される方、大まかにリスクを把握されたい方向けのプランです。
- スタンダードプラン
- セキュリティ対策を実施し、サイトの安全性を高めたい方向けのプランです。
- エキスパートプラン
- システム開発サイクルまで踏み込んで、安全なWebサイトを実現させたい方向けのプランです。
- クイックプラン
- 検出された脆弱性を速やかに改修されたい方向けのプランです。
サービスの目的・狙い
- ネットワークファイヤーウォールでは防ぐことのできないWebアプリケーションに対する攻撃に備え、Webアプリケーションに内在する脆弱性を洗い出し、そのリスクを評価することで、効果的なセキュリティ対策を実施していただくための検討材料をご提供いたします。
- インパクトの大きなものから優先度をつけて、適切かつ確実に対策を実施していただくことで、Webアプリケーションをより一層安全に運用していただき、お客様の大切な情報資産を守ることにつなげていくことを目指します。
脆弱性診断観点
以下のセキュリティ観点に基づいて、Webアプリケーションのリスクを評価しています。
【機密性】
個人情報や業務上の機密情報、システムの内部情報など一般に非公開にすべき情報が開示すべき範囲を超えて漏えいしないか?
【完全性】
機能が想定外の動作を引き起こさないか?データが改ざん・破壊されないか?
【可用性】
許可されない機能やデータにアクセスされないか?サービスの提供を妨害・停止させられないか?
脆弱性診断項目
以下の診断項目にしたがって、Webアプリケーションの脆弱性を洗い出します。
- 1. 入出力
- SQLインジェクション、トラバーサル、XSS、価格改ざん
- 2. 機能
- CSRF、フロー制御
- 3. セッション管理
- セッション固定攻撃、セッションIDの強度
- 4. 認証認可管理
- 総当たり攻撃、認証の不備、アクセス制御の不備
- 5. ユーザー管理
- パスワード変更、リマインダの推奨事項
- 6. 情報
- 情報の取り扱いの不備
- 7. 通信制御
- 通信の暗号化、サーバ証明書
- 8. クライアント制御
- 画面設計、キャッシュ
- 9. サーバー設定
- サーバ設定、既知の脆弱性
- 10. その他
- ポリシー
脆弱性診断サービスフロー
以下のサービスフローにしたがって脆弱性診断を進めてまいります。(下図はクリックで拡大します)
診断作業の実施イメージ
診断作業の実施イメージを以下に示します。(下図はクリックで拡大します)
対象システムへの疑似攻撃(診断手法)
ブラウザからサーバに送信されるHTTPリクエストを改ざんし、サーバ側プログラムが処理した結果返されるHTTPレスポンスの内容を確認することで、Webアプリケーションに内在する脆弱性の存在を検出します。(下図はクリックで拡大します)
診断ツール
診断作業では、以下の診断ツールを使用します。
- ローカルプロキシツール(Fiddler、Burp、ZAP)
専門の診断員が手操作で診断を実施するために使用します。 - 独自ツール(パターンスキャン)
カスタムアプリケーションの作りは一つ一つ異なり、人間による判断が必要な場合が多いため、専門の診断員が診て判断することに適した独自のツールを使用しています。 - 市販の脆弱性スキャナは使用していません。
AppScan、VEXなど市販ツールの使用は別途ご相談となります。
脆弱性診断結果のご報告
検出される主な脆弱性
- SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル
- クロスサイトスクリプティング、HTTPレスポンスヘッダインジェクション、オープンリダイレクタ
- クロスサイトリクエストフォージェリ
- セッションフィクセーション、セッションIDの強度不足
- ブルートフォース、認証機能の不備
- アクセス制御の不備
- 重要情報取り扱いの不備
主な報告事項
- リスク評価
- 脆弱性の解説
- 対策案・改善案
- 該当箇所
- 再現方法
セキュリティ技術者派遣
セキュリティベンダー様向け技術者派遣
セキュリティサービスにおける関連業務向けに技術者を派遣いたします。
SI事業者様向け技術者派遣
開発・保守運用業務におけるセキュリティ関連業務向けに技術者を派遣いたします。
エンドユーザー様向け技術者派遣
情報セキュリティセクションにおけるセキュリティ関連業務向けに技術者を派遣いたします。
経験年数、スキル等を勘案した個別見積り
当社内において、セキュリティ関連業務を経験した者、あるいはセキュリティ教育研修を受講した者を中心にご提案いたします。
セキュリティ教育研修
セキュアコーディング研修
開発者様向けに情報セキュリティの基礎から、主な脆弱性の理解、セキュアコーディングを演習中心で教育いたします。
脆弱性診断員養成研修
当社内のノウハウを活かした研修内容で、診断業務従事者を養成いたします。