セキュリティ専門家が各種ITシステムやWebアプリケーションの脆弱性を診断・分析し改善策を提案します。
脆弱性診断サービスでは診断対象システムに存在するサーバやネットワーク機器、Webアプリケーションの脆弱性を調査します。
多数のITシステムの診断実績を有するセキュリティ専門家が不正侵入、情報漏えい、サービス停止等の被害につながる恐れのある脆弱性を洗い出します。
検出した脆弱性が実際に悪用可能か確認・検証をし、危険度や悪用による影響を判定・評価します。
診断結果をもとに、システム特性や最新の脅威情報と照らし合わせて分析を行います。
検出された脆弱性の全体像および詳細な説明に加えて、具体的な改修方法、参考情報を含む改善に役立つ報告を行います。
安全な診断作業を行うために事前に診断対象について十分なヒアリングを行い、診断計画書を作成します。
対象のシステム環境を十分に把握したうえで、セキュリティ専門家が専門ツールと手動オペレーションによる複合的な診断を行います。
- 単なるツールだけの診断に留まらない多元的な手法による脆弱性診断を実施し経営リスクとなる危険度の高い脆弱性の存在有無を明らかにします。
- ITシステムと脅威・脆弱性に精通したセキュリティ専門家が検出した脆弱性が実際に悪用可能か確認・検証をし、報告書に反映します。
サービスメニュー
脆弱性診断サービスは、診断対象やお客様のご要望にあわせて以下のサービスよりお選びいただけます。
Webアプリケーション脆弱性診断
SQLインジェクション、クロスサイトスクリプティング(XSS)、パラメータの改ざん、セッション管理に関する欠陥、ディレクトリトラバーサル等のWebアプリケーションの設計や開発に起因する脆弱性を洗い出します。
Webアプリケーション脆弱性診断エクスプレス
Webサイト全体の診断を短期間・シンプルな料金体系で提供する診断サービス
プラットフォーム(ネットワーク)脆弱性診断
不正ログイン、セキュリティパッチ未適用、ファイルの取得、設定不備によるシステム情報漏えい、バナー情報の表示等のネットワーク機器やOS、各種サービスの設計や設定に起因する脆弱性を洗い出します。
設定診断
サーバの設定情報や稼動情報を取得して、不適切な設定の残存、パッチ適用状況、アカウントやパーミッションの状態を検査し、外部からの診断では特定できない設定に起因する脆弱性を洗い出します。
ペネトレーションテスト
セキュリティ専門家が実際に攻撃コードを実行して不正侵入を試み、サーバ群を連鎖的に攻略するなど、一つの脆弱性からどこまで被害範囲が拡大するのか調査します。現実的な被害発生につながる脆弱性とその被害の可能性を洗い出します。
CTCの脆弱性診断サービスは経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、IPA(独立行政法人情報処理推進機構)の公開する「情報セキュリティサービス基準適合サービスリスト」に登録されています。
脆弱性診断サービス
プラットフォーム脆弱性診断サービス
Webアプリケーション脆弱性診断サービス
サービス登録番号:020-0016-20
