セキュリティ診断サービス

Home > セキュリティ診断サービス

セキュリティ診断サービスとは

セキュリティ診断はシステムが抱える脆弱性を検出し、セキュリティ・リスクを明らかにします。また、その診断結果から具体的な対策手順を提示し、企業・組織のセキュリティ強化に貢献します。

セキュリティ診断の必要性

増大するセキュリティリスク

社会的評価・信用への責任

セキュリティリスクを悪用され、「踏み台」とされた場合など、社会的責任
問題へと発展する可能性があります。

個人情報・機密情報保護への責任

特 にインターネット上へ公開されるシステムはその内部情報の流出を未然防
止する企業・組織の責任があります。

診断によるセキュリティリスクの洗い出し・確認が必要です

セキュリティ診断サービス概要

情報システムには様々な脅威が存在します。弊社ではこれらの脅威や昨今のサイバー攻撃、情報セキュリティ事故などから組織の情報資産を守ります。
グレスアベイルは情報システム開発における各行程( 要件定義~設計~リリース~トレーニング)にセキュリティコンサルティング・ソリューションサービスをご提供し、お客様情報資産を保護します。

セキュリティ診断サービス概要

システム全体に対応

OSレイヤーからアプリケーションレイヤーまでシステム全体の診断メニューに対応

PCIDSS対応

PCIDSS要件11.2.2が求めるASV(Approved Scanning Vendor)による外部ネットワークの脆弱性スキャンを実施します。弊社ではASV認定をもつスキャニングサービスを利用することで対応しています。

豊富なサービス実績

金融・流通・製造業等、豊富なサービス実績を有し、高度な技術力をもって対応

サービス実施フロー例※診断メニューやお客様要件によって変更されます

Step1/ 提案 Step2/ 調整 Step3/ 診断 Step4/ アウトプット Step5/ クロージング
・ヒアリング
(診断対象、環境確認)
・ご提案/お見積もり
・ご契約
・診断日時/計画決定
・実施内容合意
(注意事項等の承認)
・診断作業実施 ・検出結果取り纏め
・レポート作成

・報告会

※診断メニューによっては実施無

※各工程の期間は実施要件により異なります。

サービス内容

PCIDSS対応セキュリティ診断サービスを説明いたします。
※ 検出された脆弱性は専門のセキュリティコンサルタントにより精査、検証がなされます。

ネットワークセキュリティ診断

ITインフラストラクチャ(プラットフォーム/ネットワーク領域)における脆弱性を診断します。
こちらでは、ネットワークセキュリティ診断により得られた結果から、事業継続に対するインパクト・影響を最小限にするための対策方法をご提言します。

主な診断項目

TCP/UDPポートスキャン,ICMPスキャン,稼動サービスからの情報収集,FTPサーバの脆弱性,DNSサービスの脆弱性,メールサーバの脆弱性,SSHサーバの脆弱性,Webサーバの脆弱性,RPCサービスの脆弱性,SNMPサーバの脆弱性,IPサービスの脆弱性,データベースの脆弱性,リモートシェルの脆弱性,NetBIOSの脆弱性,リモートアクセスサービスの脆弱性,サービス停止攻撃,バックドアの検出,P2Pファイル共有,推測が容易なパスワード調査,デフォルトコンテンツの存在確認,Windows系OSの脆弱性,Unix/Linux系OSの脆弱性,その他OSの脆弱性,独自OSの脆弱性(Cisco,Juniper,各種アプライアンス等)…etc

診断観点

・個々のサーバやネットワーク機器に関するセキュリティ強度を診断
・ネットワーク経由の攻撃による情報漏えい、システムダウンに対するセキュリティ強度を診断

Webアプリケーション脆弱性診断

Webサーバは広く利用者に公開されていることが一般的なため、Webアプリケーションの脆弱性に起因する被害は即時に機密情報等の流出事故を拡散する恐れがあります。
こちらでは、Webアプリケーションに対して、不正アクセス等を模擬した実際の攻撃を試み、脆弱性を検出するとともに不正に情報を奪取出来るかを検査します。

主な診断項目

クロスサイトスクリプティング(XSS)の脆弱性,SQLインジェクションの脆弱性,ディレクトリの索引化の検出,不適切な情報の開示の検出,悪意のあるファイルの実行の検出,不適切な暗号の利用,不適切な認証の有無,パスの乗り越えの有無,リソースの位置特定の脆弱性,クロスサイトリクエストフォージェリ(CSRF)の脆弱性

結果から得られる情報

対象のWebアプリケーションが持つ脆弱性有無。不正アクセスにより奪取出来る情報有無。

診断観点

・Webアプリケーションの脆弱なプログラム有無の診断
・Webサーバの設定不備等による脆弱性有無の診断

ペネトレーションテスト

脆弱性に対して実際に侵入テストを実施します。
こちらでは、ペネトレーションテスターにより実証された問題に対する危険性とその対策方針をご提示します。

内部ネットワークペネトレーションテスト

内部ネットワークからのアクセスの視点で、検出された脆弱性に対して、実際に攻撃を試み、不正アクセス等、悪意のある行為が実現するか否かを検査する。

外部ネットワークペネトレーションテスト

外部ネットワークからのアクセスの視点で、検出された脆弱性に対して、実際に攻撃を試み、不正アクセス等、悪意のある行為が実現するか否かを検査する。

主な診断項目

外部からの不正アクセス成功可能性の有無,情報漏えい経路存在の有無,DOS/DDOS攻撃に対する耐性,踏み台になる可能性有無,ペネトレーションテスター・ハッカーによる豊富な経験と知識をもっての実証項目の実施

結果から得られる情報

対象のWebアプリケーションが持つ脆弱性有無。不正アクセスにより奪取出来る情報有無。

診断観点

・脆弱性を利用し、実際に侵入を試みることで不正アクセス等の実証試験を実施します。
・攻撃者観点による情報漏えい可能性の有無を検査します。

外部ASV診断

外部ネットワークからのアクセスの視点で、不正アクセス等、悪意をもった行為が成功する可能性がある脆弱性を検出して報告する。
PCIDSS要件11.2.2が求めるASV(Approved Scanning Vendor)による外部ネットワークの脆弱性スキャンを実施します。
弊社ではASV認定をもつスキャニングサービスを利用することで対応しています。

結果から得られる情報

対象システムが持つ脆弱性有無。

無線LAN検査

不正APの存在有無の検査や、弱い暗号の採用による脆弱点の検証などを行います。
対象フロアにおける、ワイヤレスアクセスポイントの存在をテストし、すべての承認されているワイヤレスアクセスポイントと承認され
ていないワイヤレスアクセスポイントを検出します。

結果から得られる情報

対象フロアにおける不正な(承認されていない)ワイヤレスアクセスポイントの存在の有無。

内部ネットワーク脆弱性スキャン

内部ネットワークからのアクセスの視点で、不正アクセス等、悪意をもった行為が成功する可能性がある脆弱性を検出して報告する。

結果から得られる情報

対象システムが持つ脆弱性

他、多様な診断に対応

下記のようにシステム上の多様な診断に対応します。ご相談ください。

ソースコード診断

ソースコードレベルの脆弱性を発見することで、開発コストの削減とアプリケーションの品質向上を実現します。

モバイルアプリケーション診断

モバイルアプリケーションやモバイルデバイスにおける脆弱性を診断します。

データベース診断

不適切なアカウント設定・パーミッション設定、脆弱性なパスワード強度・認証方式などDB上の問題点を検査します。

ファイアウォール診断

ポリシーの運用状態(設計と実設定との差異分析等)や、不要なポリシーの有無などを検査します。

本サービスに関する前提事項

本サービスに関する前提事項を以下に記載いたします。

  • 対象システム、実施回数等のご要件はご提案時に決定させて頂きます。案件スタート後、要件が変更になる場合は別途追加見積となることがありますので、ご了承ください。
  • PCIDSS準拠を目的として本サービスをご利用になる場合、弊社にてPCIDSS審査合格を保証するものではありません。例えば弊社診断サービスによって指摘された問題点が審査時に改善されていなかった場合などは審査不合格となることがあります。
  • オンサイトによる診断作業は弊社持込み端末の使用を前提としております。内部診断時等におけるお客様NWへの接続許可、IPアドレス等の払い出しをお願いいたします。
  • 診断サービスを進める上での打ち合わせ・報告会等は原則、東京圏内を予定しております。お客様からのご要請により、出張・その他本プロジェクトの遂行に際して、必要となる費用が発生する場合に関しましては、別途実費をご精算頂きます。
  • 本プロジェクトにおける資料作成作業等は弊社及び弊社指定の協力会社内での作業を想定しております。
  • 診断結果に基づく、設定変更作業は本サービスには含まれておりません。
  • 診断作業にあたって必要となる情報を開示頂ける前提です。
  • 診断作業にあたって必要となる接続先スイッチの用意・設定、FWの穴あけ等の調整作業はお客様にて実施頂く前提です。