お問い合わせ
セキュリティセキュリティ診断支援

こんなお悩みありませんか?

sec-diag-problem01.png

サーバーのどこにセキュリティの弱点があるのだろう…?

sec-diag-problem02.png

セキュリティ診断の実施にはソフトウェアを購入しないといけない…?

sec-diag-problem03.png

現状のセキュリティ状況を記録したいけど、レポートの作成は面倒…。

これらのお悩みを「セキュリティ診断サービス」で解決します!

セキュリティ診断サービスの特徴

① ソフトウェア等の購入不要、サービス利用で実施可能

新規にソフトの購入もなく、すぐに診断可能です。

 

② 検出された脆弱性を 5 段階評価、対策の優先度を可視化

緊急度の高い脆弱性は即時にお知らせします。

 

③ 脆弱性の対策方法をレポートにまとめてご報告

検出された脆弱性ならびに対策方法をレポートにまとめてご報告します。

sec-diag-feature01.png

sec-diag-feature02.png
情報セキュリティサービス基準審査登録制度「情報セキュリティサービス台帳」に登録されています!

経済産業省の定める「情報セキュリティサービス基準」に基づいて、一定の技術要件および品質管理要件を満たしている情報セキュリティサービスが登録される制度です。弊社のセキュリティ診断サービスも適合が認められております。

sec-diag-feature02.png
官公庁や民間を問わず幅広い診断実績があります!

  • 利用者用サイト(省庁)
  • 健診予約システム(民間)
  • 二要素認証システム(民間)
  • 公開系システム(自治体)
  • 電子カルテシステム(民間)
  • 受発注システム(民間)
  • 庁内系システム(自治体)
  • 多職種連携システム(民間)
  • QR 決済システム(民間) 等

 

sec-diag-feature02.png
難関国家資格の取得を含め、セキュリティ関連の様々な資格を取得しているメンバーが在籍しています!

  • OSCP(Offensive Security Certified Professional )
  • CISSP(セキュリティ プロフェッショナル認定資格制度)
  • 情報処理安全確保支援士
  • CEH(認定ホワイトハッカー)
  • 認定脆弱性診断士(SecuriST)等

セキュリティ診断の種類

ネットワーク・セキュリティ診断(プラットフォーム診断)

ネットワークを経由して、対象サーバー・対象ネットワーク機器の脆弱性を診断します。
診断方法は、リモート診断(インターネットを経由し、ファイアウォールの外側からの診断)とオンサイト診断(対象サーバーと同一セグメントからの診断)の2 種類をご提供しています。
いずれの診断方法においても、弊社診断エンジニアが事前に調査を行い、診断ツールを利用しての診断を実施いたします。ツールで発見した脆弱性については、弊社診断エンジニアが手動で確認したのちに、結果を報告書にまとめて納品いたします。

 

Web アプリケーション診断

Web アプリケーションの各機能の脆弱性をチェックする診断です。
Web アプリケーションのログイン画面や入力フォームに脆弱性がないかどうか、専用の診断ツールに加えて、ツールで検出できない脆弱性や検出することが困難な脆弱性については弊社診断エンジニアが手動で診断いたします。

 

チェックリスト診断

セキュリティ・コンサルタントによる状況確認診断です。
弊社オリジナルの診断チェックリストに基づき、現状を把握するための診断です。主には、構成の脆弱性、運用の脆弱性の有無を診断いたします。

 

まずは、お気軽にお問合せください

セキュリティ診断におけるチェック項目

【ネットワーク・セキュリティ診断(プラットフォーム診断)】

  • ネットワーク・リソースが外部から特定できるかどうか(ホスト名やエイリアスの検索、稼働OSの特定等)
  • セキュリティ攻撃に対して脆弱であることが知られているサービスを利用していないかどうか
  • サービス提供に不要なポートを利用してないか
  • アカウント・パスワードは適切に設定されているか
  • 脆弱な暗号化方式の利用を許可していないか
  • バッファオーバーフロー等を起こすセキュリティホールを放置していないか
  • DDoS攻撃の元となるプログラムやサービスは停止してあるか等
  •  

【Webアプリケーション診断】

IPA (独立行政法人情報処理推進機構)が発行している「安全なウェブサイトの作り方」(http://www.ipa.go.jp/security/vuln/websecurity.html) 及びOWASP Top10 (https://owasp.org/www-project-top-ten)で挙げられている項目を含む以下の項目を診断いたします。 

  •  SQLインジェクション
  •  OSコマンドインジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF (クロスサイト・リクエスト・フォージェリ)
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • クリックジャッキング
  • バッファオーバーフロー
  • アクセス制御や認可制御の欠落
  • XML外部エンティティ参照
  • XPathインジェクション
  • LDAPインジェクション
  • 意図しないリダイレクト
  • 安全でないデシリアイゼーション
  • 認証の不備
  • 不適切なセキュリティ設定等

 

【チェックリスト診断】

  • アカウント管理について
  • ログ取得について
  • バックアップについて
  • セキュリティ運用(サービスパック適用等)について
  • 各種サーバーの公開範囲について
  • システム構築時のドキュメントチェック等

 

セキュリティ診断イメージ(リモート診断の例)

sec-diag-usecase01.png

診断レポート(例)

sec-diag-report.jpg● 診断概要

診断対象のホストに関する情報について記載しています。

● 総合評価

診断対象ホスト全体のセキュリティ診断結果に関する情報について記載しています。

● 診断結果詳細

セキュリティ診断で検出された脆弱性の情報を脆弱性ごとに記載しています。

● ホスト別脆弱性一覧

診断対象ホストごとに検出された脆弱性の一覧を記載しています。

ご提供イメージ

画像の説明

お問い合わせ

セキュリティ診断のご検討時に、お問い合わせください。

 

診断ヒアリングシートのご提出

セキュリティ診断の実施が決定されましたら、対象機器の詳細(OS、稼働サービス、IPアドレス、周辺環境等)と、診断実施日程のご希望をお伺いするため、弊社から提示する「ヒアリングシート」にご記入いただきます。

 

御見積のご提出

診断対象の数量や、診断方法(リモート・オンサイト)等を確認の上で御見積を作成し、ご提出します。

 

ヒアリング内容の確認

「ヒアリングシート」に基づき、診断実施に必要な情報の抜け漏れがないか事前確認を行います。

 

診断日程の決定

「ヒアリングシート」に基づき、弊社エンジニアより、実施日程の連絡を行います。

 

診断の実施

予定時間になりましたら、弊社より連絡を行い、診断を実施します。診断終了後には、終了の連絡とともに、緊急度の高い脆弱性が発見されていないかどうか、速報でお知らせします。

 

レポート作成および送付

診断実施時に取得できた結果を元に、弊社エンジニアのこれまでの診断実績を踏まえたレポートを作成します。診断実施から最大3週間以内に、診断結果レポートを提出します。

 

報告会

診断結果の報告会が必要な場合は、オンラインまたはオフラインにより、報告会を実施します。報告会は1回あたり2時間程度となります。

 

フォロー診断

診断実施後に、改善項目に対して対処ができているかを確認するための再診断となります。

セキュリティ診断サービス価格

  • ネットワークセキュリティ診断(プラットフォーム診断): 180,000円~(※税別)
  • Webアプリケーション診断: 400,000円~(※税別)

※ 詳細は、別途お問い合わせください。