事業内容

  1. HOME
  2. 事業内容
  3. システム運用・サポートサービス
  4. セキュリティサービス

システム運用・サポートサービス System Management & Support Service | セキュリティサービス

近年、企業をターゲットとしたサイバー攻撃による事故が後を絶ちません。社内システムのセキュリティ対策不備により、情報漏えい、改ざん、データ破壊などの業務的影響はもちろん、それに伴う顧客の信用、イメージの失墜により企業は甚大な被害を被る可能性があります。


セキュリティ診断サービスでは、Webアプリケーション脆弱性診断およびプラットフォーム脆弱性診断により、お客様のシステムの安全性を洗い出します。検出された脆弱性や想定されるリスク、求められる対策が、診断結果として報告書にまとめられますので、報告書の内容を対処いただくことでお客様のシステムのセキュリティリスクを最小限にできます。

導入効果
・お客様サーバのセキュリティに問題がないか分かります。
・診断結果をもとに適切な対処方法を提供します。
・内部(社内ネットワーク)および外部(インターネット側)からの脆弱性診断に対応しています。

メニュー体系


Webアプリケーション診断


Webアプリケーションに対して、攻撃者の視点から様々な疑似攻撃を考察および試行し、安全性を調査します。Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング等の攻撃による被害の発生を未然に防ぐことができます。


侵入方法 ・Webアプリケーションのバグを利用する
セキュリティ脅威 ・WEBアプリケーション直後にあるDBのデータが盗まれる
・ホームページが改ざんされる等
対策 ・WEBアプリケーションのバグを修正
・WEBアプリケーションFireWallで防御
問題点 ・WEBアプリケーションのバグ(ソースコード)を見つけられない
・パッチが存在しない
・アプリケーションの修正に時間がかかる


診断ツール
OWASP ZAP(Open Web Application Security Project)が開発したオープンソースソフトウェア。 IPA(情報処理推進機構)が推奨するツールであり、世界中の脆弱性診断で活用されている人気の高いツールです。


スパイダー機能 指定のURLを起点とし、オートクローリング(自動で脆弱性診断対象のリンクを辿り、存在するURLを洗い出す)を行います。
動的スキャン機能 クローリングして明らかになった任意のURLに対して、ツールが準備している脆弱性診断用の検査文字列を用いて自動で脆弱性診断を行います。
ディレクトリ探査機能 指定のURL配下に不要なディレクトリが存在しないかを確認します。
プラットーフォーム脆弱性診断


サーバ、ネットワーク機器に対して、不正アクセスの観点から疑似攻撃を実施し、OSのセキュリティホールやミドルウェアの安全性を調査します。プラットフォーム診断の結果に基づいてアップデートやパッチ適用を実施し、脆弱性の対策を施すことにより潜在的な脆弱性を突いた攻撃による侵入、改ざん、情報漏えい等の被害を未然に防ぐことができます。


侵入方法 ・OSのセキュリティホールを利用するもの
・OSのセキュリティポリシー設定ミス
セキュリティ脅威 ・乗っ取られたサーバの全情報が漏洩
・さらに先のサーバに侵入される可能性あり
対策 ・OSのパッチを随時適用する
・OSやネットワーク機器の設定を見直す
問題点 ・稼働中のサーバにパッチが適用できない
・サーバの数が多く、どのサーバに脆弱性があるかわかりにくい


診断ツール
Open VAS 45,000以上のネットワーク脆弱性定義(NVTs)を有しているオープンソースソフトウェア。提供元「Greenbone Networks」は商用製品とほぼ同等のNVTsを提供しています。


ポートスキャン機能 サーバで意図しているポートのみが開かれているかを確認し、洗い出します。
脆弱性スキャン OPENされているポートを開いているプロセス(ソフト)について、レスポンスから判断できる脆弱性を指摘します。(バージョン情報、リクエスト返答による判断)

セキュリティ診断の流れ

診断対象と診断スケジュールを確定させ、要件のヒアリングを実施します。打ち合わせにて決めた日程で診断を実施後、当社にて脆弱性の調査、報告書を作成します。報告書の内容に沿ってお客様にて脆弱性の対応を実施していただきます。


セキュリティ診断の流れ

報告書イメージ

診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、発見された脆弱性やセキュリティリスクレベルなどが記載されます。


報告書1 報告書2 報告書3

セキュリティ診断に関するお問い合わせ

診断内容はお客様環境によって異なるため、個別にお見積りしております。お気軽にお問い合わせください。

ご用命・お問い合わせ

株式会社日本オープンシステムズ

E-mail
E-mail