概要 診断の流れ パターンチェックの内容(大項目) 環境
価格 効果 診断結果について ご確認事項 戻る |
| ■概要 |
・IPv4環境のネットワーク経由からサーバ、
ネットワーク機器などのシステムが抱える弱点や設定ミスなどを洗い出し、
セキュリティ上の問題点を指摘します。
・ショッピングサイト(EC)、
会員ページ、情報検索などの個人情報流出やホームページ改ざんなどの脅威を解消するのに、 これらサイトに潜んでいる脆弱性を洗い出し、
セキュリティ上の問題点を指摘し、推奨策を提案します。
*お客様のWebサイトは固有に開発されているため、汎用のOS、
アプリケーションと異なり脆弱性やパッチが公開されることはありません。
そのため、脆弱性を網羅的に検出するには高いスキルと経験を兼ね備えた技術者が
診断する必要があります。 |
| ■システム診断の流れ |
システム診断は、次の2つのステップを踏んで実施させて頂きます。
Step1 : ポートスキャン
Step2 : 脆弱性パターンチェック
Step3 : 診断結果報告会(レポート)
|
 Step1:ポートスキャン |
| ポートスキャンでは、対象ホストにおいてどのような通信ポートがオープン(http:80番など)しているかをチェックします。ポートスキャンにより、その後のアタッキングシュミレーションの範囲を決定します。当社では、WellKnownポート(1〜1024番)に加え、1024番以上でよく使用されるポート(当社推奨)を対象にポートスキャンします。多くの不正アクセスは、事前にこのポートスキャンを実施し、オープンポートに対して実際の攻撃を行います。 |
| Step2:脆弱性パターンチェック(擬似攻撃) |
| 上記「Step1:ポートスキャン」の結果に基づき、オープンポートにおいてどのような脆弱点があるかを専門技術者が当該サービスに対して実際の不正アクセス手法を用いてアクセスし、その応答結果から脆弱点を見つけ出します。 |
|
|
| ■
脆弱性パターンチェックの内容(大項目) |
| Backdoors |
バックドアの検出 |
| CGI abuses |
一般的なCGIアプリケーション固有の検査 |
| CGI abuses:XSS |
クロスサイトスクリプティング検査 |
| CISCO |
CISCO固有の検査 |
| Default Unix Accounts |
デフォルト設定のUnixアカウントへのアクセス検査 |
| Denial of Service |
DoSを受け付けてしまう弱点の検査 |
| Finger abuses |
Finger(ユーザ情報を提供するアプリケーション)固有の検査 |
| Firewalls |
Firewall関連の検査 |
| FTP |
FTP関連の検査 |
| Gain a shell remotely |
リモートからシェルが取得できてしまう弱点の検査 |
| General |
各種アプリケーションの動作の検出 |
| Misc. |
上記の項目に含まれないジャンルの検査 |
| Netware |
Netware固有の検査 |
| NIS |
NIS(ホスト間でユーザ情報を共有するアプリケーション)固有の検査 |
| Peer-To-Peer File Sharing |
P2Pアプリケーション関連の検査 |
| Port scanners |
オープンポートの検査 |
| Remote file access |
リモートからファイルを参照できてしまう弱点の検査 |
| RPC |
RPC関連の検査 |
| Service detection |
検知サービスの検査 |
| Settings |
よくある設定上の弱点の検査 |
| SMTP problems |
SMTP関連の検査 |
| SNMP |
SNMP関連の検査 |
| Useless services |
セキュリティ上脆弱なプロトコルを使用したアプリケーションの検査 |
| Web Servers |
ウェブサーバの検査 |
| windows |
Windowsの一般的なアプリケーション、OSの脆弱性の検査 |
| Windows:Microsoft Bulletins |
Windowsの重要な更新に対する検査 |
| Windows:User management |
MS Windowsのデフォルト設定のユーザアクセス検査 |
|
|
| ■環境 |
| ・ IPv4環境 |
| ■価格 |
| ・1IP・・・20万円 (下記の項目を全て行います!) |
| ■効果 |
・ システムに潜む脆弱性を洗い出すことで、潜在的な脆弱性が明確に把握できます。
・ お客様が第一に着手すべきセキュリティ課題が明確になります 。
・ OSやアプリケーションなどのバージョン情報が把握できます。
・ システムに潜むリスクを把握することで、リスクマネジメントに活用できます。
・ 脆弱性を明確化し、対策を打つことで攻撃者からシステムを守ることができます。
以下のシステムに効果があります。
a) メールサーバ
b) ウェブサーバ
c) DNSサーバ
d) ファイルサーバ
e) FTPサーバ
f) ファイアウォール
g) ルータ など
・ 個人情報保護対策に役立ちます。
・ Webサイトの安全性を増すことで、信頼されるWebサイトの提供ができます。
・ 会社、組織およびWebサイトの信頼性が増します。
・ お客様が第一に着手すべきセキュリティ課題が明確になります。
・ システムに潜むリスクを明確にすることで、リスクマネジメントに活用できます。
・ 脆弱性を明確化し、対策を打つことで攻撃者からシステムを守ることができます |
| ■診断結果報告について |
・ご提出するレポートには、以下の内容が含まれます。
−ポートスキャン結果 :セキュリティ監査対象でオープンしているポート
−サービスチェック結果 :オープンポートとそれに対応するサービス
−脆弱性検査結果 :サービスに対する脆弱性検査結果
−専門技術者コメント :脆弱性検査結果に基づくコメント
・別途診断結果報告会(説明会)を実地いたします。
−診断実施技術者よりレポート内容のご報告と、課題が発見された場合
には、
詳細なご説明をさせて頂きます。
・セキュリティ診断実施から約10営業日でレポート提出させて頂きます。
・報告会実施後、2週間、ご質問にお答えいたします。
|
| ■ご確認事項 |
・ 対象サーバおよび機器には固定グローバルIPアドレスが
割り当てられていること。
※オンサイトによるセキュリティ検査も実施することが可能です。(オプション)
・ セキュリティ監査サービス申込書 兼 同意書にご記入いただくこと。
・ 貴社専用サーバであること。ホスティングサーバは対象外です。
・ その他、実効性の高いサービスを実施するために必要なご協力をいただくこと。
|
