各種ITシステム・ウェブアプリケーションに対して、情報セキュリティを侵害する脆弱性が存在しないかを、専用ツールとハンドオペレーションを併用して、抽出・分析し、改修方法を提示します。
脆弱性診断では、診断対象システムに対する不正アクセスによって、不正侵入、情報漏えい、サービス停止等の被害につながる恐れがないかの観点で、技術的に「脆弱性」の存否を確認し、その影響を分析・評価。経営リスクにつながる脆弱性の有無を確認します。
検査結果をもとに、システムの特性や環境と最新のセキュリティ情報を照らし合わせた分析を行い、検査対象システムにおける脆弱性の全体像および詳細な説明と、具体的な改修方法、参考情報を記載し、改善に役立つ報告を行います。
サービスの流れ
安全な検査作業を行うために、事前に検査対象について十分なヒアリングを行い、検査計画書を作成します。対象のシステム環境を十分に把握したうえで、セキュリティ専門家がツールとハンドオペレーションを駆使した検査を実施します。
- 単なるツールだけのパターンマッチに留まらない、多元的な手法による脆弱性診断を実施。経営リスクにつながるクリティカルな脆弱性の存在の有無を明らかにします。
- 脆弱性の全体像および詳細な説明と、効果的な改修を目的とした報告書を作成。熟練した専門家集団が、技術情報を収集・分析し、最新のセキュリティ情報を基にした報告書を提供します。
サービスメニュー
情報セキュリティ検査サービスは、お客様のご要望にあわせて、下記のサービスよりご選択いただけます。
Webアプリケーション脆弱性検査
「SQLインジェクション」、「クロスサイトスクリプティング」、「パラメータの改ざん」、「セッション管理に関する欠陥」、「ディレクトリトラバーサル」等、Webアプリケーションの開発や設計に起因する脆弱性を洗い出します。
プラットフォーム(ネットワーク)脆弱性診断
「不正ログイン」、「セキュリティパッチ未適用」、「ファイルの取得」、「設定不備によるシステム情報漏洩」、「バナー情報の表示」等、ネットワーク機器やOS、各種サービスの設定や設計に起因する脆弱性を洗い出します。
セキュリティ設定検査
サーバの設定情報や稼動情報を取得して、不適切な設定や外部からは特定できない脆弱性が存在しないか、「サーバの中身」の情報セキュリティを検査し、設定や設計に起因する脆弱性の有無を確認し、有効性を評価します。
ペネトレーションテスト(侵入検査)
セキュリティ専門家が実際に攻撃コードを実行して不正侵入を試み、サーバ群を連鎖的に攻略するなど、一つの脆弱性からどこまで被害範囲が拡大するのかを把握します。それにより、現実的な被害につながる脆弱性と、その被害の可能性を洗い出します。
