セキュリティ診断・
対策サービス
セキュリティ対策のプロが
サイバー攻撃や内部不正から企業の大切な情報を守ります
サイバー
攻撃対策
内部不正/
情報漏えい対策
認証強化/
不正アクセス防止対策
メールセキュリティ
対策
事業継続
(BCM・BCP)
業務のデジタル化が進む現代企業は、外部からのサイバー攻撃や内部の不正・ミスによって情報漏えいやセキュリティ事故が発生するリスクに常にさらされています。
日本オープンシステムズは、WEBアプリケーション診断やプラットフォーム診断、WEBペネトレーションテストなど、セキュリティ専門エンジニアの的確な診断により、既知の脆弱性や設定の不備等によるセキュリティ上の問題点を見つけ出します。また、問題点に対して実施期間やコストまで最適化したセキュリティ対策を施すことで、個人情報漏洩やそれに伴う損害賠償などのリスクを軽減することが可能です。
SECURITY DIAGNOSIS セキュリティ診断サービス
WEBアプリケーション診断
WEBアプリケーション(WEBサイト)に対し、攻撃者の視点から様々な疑似攻撃を考察および試行し、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を見つけ出すサービスです。
資料ダウンロード診断内容
-
WEBアプリケーションの脆弱性
インジェクション
パストラバーサル
XML外部エンティティ参照(XEE)
オープンリダイレクト
安全でないデシリアライゼーション
インクルードにまつわる脆弱性
クリックジャッキング
認証の不備
認可制御の不備
クロスサイトリクエストフォージェリ(CSRF)
セッション管理の不備
情報漏洩
-
WEBアプリケーションの
動作環境の脆弱性サーバーソフトウェア設定の不備
公開不要な機能・ファイル・ディレクトリの存在
プラットフォーム診断
アプリケーションの基盤となるOSやWEBサーバー、データベースなどのインフラ・プラットフォームに対し、既知の脆弱性や設定の不備等によるセキュリティ上の問題点を見つけ出すサービスです。WEBシステムに限らずネットワーク機器等の様々なシステムに対しての診断が可能です。
資料ダウンロード診断内容
-
ポートスキャン
対象機器のTCPやUDPを検査します
TCP:1〜1023+主要ポート
UDP:1〜1023+主要ポート -
脆弱性検査
診断ツールを用いてOSやソフトウェアに内在する既知の脆弱性を検査します
OS・FTP・SSH・TELNET・SMTP・POP・DNS・HTTP/HTTPS・ファイル共有・SNMP・NTPなど158,000以上の検査項目から診断 -
パッチ適用状況検査
サーバーに適用されているOSのセキュリティパッチを検査します
Windows・Linux・UNIX、Cisco IOSなどのOSに対応
WEBペネトレーションテスト
ペネトレーションテストとは日本語で「侵入テスト」を意味し、実践的にホワイトハッカーが企業のシステムに侵入することで、システムのサイバー攻撃へ耐性に関する具体的な問題点を見つけ出すサービスです。
資料ダウンロード侵入の攻撃シナリオの例
-
SQL
インジェクション情報漏洩
データベース内に保存されている個人情報を奪取
改ざん
データベース内の商品価格を改ざん
妨害
データベース内の商品データを削除
-
OSコマンド
インジェクション情報漏洩
Webサーバー内のパスワードファイルを取得
改ざん
Webサーバーの公開ディレクトリにあるコンテンツを改ざん
妨害
Webサーバーのサービス停止
-
ディレクトリ
トラバーサル情報漏洩
Webサーバーの非公開ファイルへアクセスし機密情報を取得
-
クロスサイト
スクリプティング改ざん
スクリプトを埋め込み、利用者を強制的にフィッシングサイトへ 誘導
-
認可制御の不備、
欠落情報漏洩
他の利用者の個人情報を取得
改ざん
他の利用者の登録メールアドレスを変更
-
認証制御の不備、
欠陥情報漏洩
ログイン認証回避
-
Webアプリケーションロジックの問題
改ざん
価格を改ざんして商品を購入
妨害
一部のサービスを無効化
AWSセキュリティ診断
AWSセキュリティ診断に最適化されたマネージドサービス「AWS Security Hub」を活用することでクラウドネイティブなセキュリティ診断を行います。さらに、診断結果をもとに弊社がレポート提供などの支援を行います。
資料ダウンロード-
セキュリティ不適合項目に対する対応方法などのレポート提供します
セキュリティ診断実施後、検査実施項目一覧や診断内容および結果、不適合項目の説明などを記載した分かりやすいレポートを提供いたします。
-
不適合項目対処後の再診断は不要です
AWS Security Hubの設定により、お客様によって適合状況を確認することができるため、不適合項目の対応後に再診断を実施する必要がありません。
SECURITY MEASURES セキュリティ対策サービス
-
IT資産管理ソフトの
導入サポートお客様のIT資産を内部不正か
ら守るため、IT資産を監視
し、機器の持ち込みや持ち出しをコントロールする強固なソリューションの導入をサポートします。 -
CSIRT
構築サポートセキュリティインシデントが発生した場合に、原因解析や影響範囲の調査など、迅速に対応することができる社内体制(CSIRT)の構築をサポートします。
-
更新プログラム
管理ツールの導入の
サポートOSのセキュリティパッチの不備を突いた様々なサイバー攻撃を防ぐため、端末のセキュリティ更新の適用を一元管理
し、それぞれに適用するソリューションの導入をサポートします。 -
エンドポイント
セキュリティ導入の
サポート企業で使用しているコンピューターやスマートフォン、タブレットといった端末へのウィルス・マルウェアの侵入や拡散を防ぐため、セキュリティソリューションの導入をサポートします。
-
ディレクトリ
サービスの
導入サポートネットワークに接続したサーバーやアプリケーション、プリンターなどに対し、アクセス認証やリソース使用の認可を一元管理するサービスの導入をサポートします。
-
バックアップ
ソリューションの
導入サポート災害時に備えたデータのバックアップや災害によってダメージを受けたシステムを復旧する仕組みづくり(ディザスタリカバリ)を実現するソリューションの導入をサポートします。
OTHER その他のセキュリティ対策サービス
Cato Cloud導入支援
サービス
Cato Cloudは、ネットワークの接続・保護・管理を提供するコンバージド(統合)プラットフォームです。弊社は、お客様のご要望やシステムの規模に応じてPoC手配や機器調達、プロジェクト管理、テスト、運用サポートなど、最適な支援サービスを提供することが可能です。
-
FEATURE 01
ONE NETWORK
社内ネットワークをクラウドに接続するだけで、国内外問わず低遅延・最適経路な拠点間通信やインターネット通信、リモートアクセスが可能です。
-
FEATURE 02
ONE SECULITY
FirewallやSecure VPNなどのセキュリティ機能をクラウドで提供することで、一貫性のあるセキュリティ対策を行うことが可能です。
-
FEATURE 03
ONE POLICY
インターネットから提供されるクラウド管理コンソールにより、セキュリティーポリシーの設定からネットワークの利用状況の把握まで一元管理することが可能です。
標的型攻撃メール訓練
サービス
標的型メール攻撃から企業を守るためには、社員一人ひとりのリテラシー向上が必要不可欠です。弊社では、標的型メール訓練サービス「MudFix」を活用して組織内のリテラシー状況を細かく把握し、講習会と組み合わせることで企業のリテラシー向上を図ります。
STRENGTH 日本オープンシステムズの強み
-
高度なセキュリティ資格を
有するエンジニアが
対応しますセキュリティに関わるCISSPやCHEなどの有資格者をはじめとする、高度なセキュリティの専門知識を有したエンジニアがサービスを提供します。保有資格一覧
情報処理安全確保支援士試験(SC)
CISSP(Certified Information Systems Security Professional)
CEH(Certified Ethical Hacker、認定ホワイトハッカー)
CompTIA PenTest +・Cybersecurity Analyst(CySA+)・CASP+
-
システム開発の上流工程から
サービスを提供します弊社は、システム開発に関する幅広いサービス領域を展開しているため、診断結果やご要望に応じてアプリケーションやインフラの再構築からご提案することが可能です。
-
診断から
アフターフォローまで
トータルサポートします専門のチームが対象となるシステムを診断し、最適なセキュリティ対策を施します。さらに、対策を施した後もお問い合わせの対応や再診断などのアフターフォローを実施することが可能です。
CASES セキュリティサービス導入実績
アプリケーション診断
のアウトソーシング
自社開発・運用しているWEBアプリケーションに対し、お客様の手で年に一回程度脆弱性検査を実施していましたが、開発サイクルが高速化していく中でセキュリティを担保するのが難しくなっていたことから、弊社にセキュリティーサービスを依頼いただきました。
セキュリティ診断サービスの「WEBアプリケーション診断」を3か月に1回実施することで、セキュリティの脆弱性を見つけ出し、必要応じて対応策を提案しています。
診断の実施から再診断までを短期間・ローコストで実施できるため、年1回実施していた検査を3か月に1回という適正なスパンで開発サイクルに組み込むことができました。
標的型攻撃メール訓練サービスによる従業員リテラシーの向上
特定の企業や組織を狙った標的型攻撃メールが流行していたことから、従業員のリテラシー向上を狙って、弊社の「標的型攻撃メール訓練サービス」の導入を検討いただきました。
MudFixを活用した標的型攻撃メール訓練サービスを導入しました。
訓練をとおして従業員のリテラシーを向上させることができました。また、訓練結果を可視化し、前回の訓練結果と比較することで、リテラシーの向上を数字で確認できるようになりました。
実績紹介
その他のセキュリティサービス
導入実績については
こちらをご覧ください