システム開発・運用やAWS構築など企業のDXを支援する日本オープンシステムズ「セキュリティ診断・対策サービス」ページ

SECURITY

セキュリティ対策のプロが
サイバー攻撃や内部不正から企業の大切な情報を守ります

サイバー攻撃対策 サイバー攻撃対策

サイバー
攻撃対策

内部不正/情報漏えい対策 内部不正/情報漏えい対策

内部不正/
情報漏えい対策

認証強化/不正アクセス防止対策 認証強化/不正アクセス防止対策

認証強化/
不正アクセス防止対策

メールセキュリティ対策 メールセキュリティ対策

メールセキュリティ
対策

事業継続(BCM・BCP) 事業継続(BCM・BCP)

事業継続
(BCM・BCP)

業務のデジタル化が進む現代企業は、外部からのサイバー攻撃や内部の不正・ミスによって情報漏えいやセキュリティ事故が発生するリスクに常にさらされています。
日本オープンシステムズは、WEBアプリケーション診断やプラットフォーム診断、WEBペネトレーションテストなど、セキュリティ専門エンジニアの的確な診断により、既知の脆弱性や設定の不備等によるセキュリティ上の問題点を見つけ出します。また、問題点に対して実施期間やコストまで最適化したセキュリティ対策を施すことで、個人情報漏洩やそれに伴う損害賠償などのリスクを軽減することが可能です。

SECURITY DIAGNOSIS

WEBアプリケーション診断

WEBアプリケーション(WEBサイト)に対し、攻撃者の視点から様々な疑似攻撃を考察および試行し、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を見つけ出すサービスです。

資料ダウンロード
診断内容
  • WEBアプリケーションの脆弱性

    インジェクション

    パストラバーサル

    XML外部エンティティ参照(XEE)

    オープンリダイレクト

    安全でないデシリアライゼーション

    インクルードにまつわる脆弱性

    クリックジャッキング

    認証の不備

    認可制御の不備

    クロスサイトリクエストフォージェリ(CSRF)

    セッション管理の不備

    情報漏洩

  • WEBアプリケーションの
    動作環境の脆弱性

    サーバーソフトウェア設定の不備

    公開不要な機能・ファイル・ディレクトリの存在

プラットフォーム診断

アプリケーションの基盤となるOSやWEBサーバー、データベースなどのインフラ・プラットフォームに対し、既知の脆弱性や設定の不備等によるセキュリティ上の問題点を見つけ出すサービスです。WEBシステムに限らずネットワーク機器等の様々なシステムに対しての診断が可能です。

資料ダウンロード
診断内容
  • ポートスキャン

    対象機器のTCPやUDPを検査します

    TCP:1〜1023+主要ポート
    UDP:1〜1023+主要ポート
  • 脆弱性検査

    診断ツールを用いてOSやソフトウェアに内在する既知の脆弱性を検査します

    OS・FTP・SSH・TELNET・SMTP・POP・DNS・HTTP/HTTPS・ファイル共有・SNMP・NTPなど158,000以上の検査項目から診断
  • パッチ適用状況検査

    サーバーに適用されているOSのセキュリティパッチを検査します

    Windows・Linux・UNIX、Cisco IOSなどのOSに対応

WEBペネトレーションテスト

ペネトレーションテストとは日本語で「侵入テスト」を意味し、実践的にホワイトハッカーが企業のシステムに侵入することで、システムのサイバー攻撃へ耐性に関する具体的な問題点を見つけ出すサービスです。

資料ダウンロード
侵入の攻撃シナリオの例
  • SQL
    インジェクション

    情報漏洩

    データベース内に保存されている個人情報を奪取

    改ざん

    データベース内の商品価格を改ざん

    妨害

    データベース内の商品データを削除

  • OSコマンド
    インジェクション

    情報漏洩

    Webサーバー内のパスワードファイルを取得

    改ざん

    Webサーバーの公開ディレクトリにあるコンテンツを改ざん

    妨害

    Webサーバーのサービス停止

  • ディレクトリ
    トラバーサル

    情報漏洩

    Webサーバーの非公開ファイルへアクセスし機密情報を取得

  • クロスサイト
    スクリプティング

    改ざん

    スクリプトを埋め込み、利用者を強制的にフィッシングサイトへ 誘導

  • 認可制御の不備、
    欠落

    情報漏洩

    他の利用者の個人情報を取得

    改ざん

    他の利用者の登録メールアドレスを変更

  • 認証制御の不備、
    欠陥

    情報漏洩

    ログイン認証回避

  • Webアプリケーションロジックの問題

    改ざん

    価格を改ざんして商品を購入

    妨害

    一部のサービスを無効化

AWSセキュリティ診断

AWSセキュリティ診断に最適化されたマネージドサービス「AWS Security Hub」を活用することでクラウドネイティブなセキュリティ診断を行います。さらに、診断結果をもとに弊社がレポート提供などの支援を行います。

資料ダウンロード
  • セキュリティ不適合項目に対する対応方法などのレポート提供します

    セキュリティ診断実施後、検査実施項目一覧や診断内容および結果、不適合項目の説明などを記載した分かりやすいレポートを提供いたします。

  • 不適合項目対処後の再診断は不要です

    AWS Security Hubの設定により、お客様によって適合状況を確認することができるため、不適合項目の対応後に再診断を実施する必要がありません。

SECURITY MEASURES

  • IT資産管理ソフトの
    導入サポート

    お客様のIT資産を内部不正か
    ら守るため、IT資産を監視
    し、機器の持ち込みや持ち出しをコントロールする強固なソリューションの導入をサポートします。

  • CSIRT
    構築サポート

    セキュリティインシデントが発生した場合に、原因解析や影響範囲の調査など、迅速に対応することができる社内体制(CSIRT)の構築をサポートします。

  • 更新プログラム
    管理ツールの導入の
    サポート

    OSのセキュリティパッチの不備を突いた様々なサイバー攻撃を防ぐため、端末のセキュリティ更新の適用を一元管理
    し、それぞれに適用するソリューションの導入をサポートします。

  • エンドポイント
    セキュリティ導入の
    サポート

    企業で使用しているコンピューターやスマートフォン、タブレットといった端末へのウィルス・マルウェアの侵入や拡散を防ぐため、セキュリティソリューションの導入をサポートします。

  • ディレクトリ
    サービスの
    導入サポート

    ネットワークに接続したサーバーやアプリケーション、プリンターなどに対し、アクセス認証やリソース使用の認可を一元管理するサービスの導入をサポートします。

  • バックアップ
    ソリューションの
    導入サポート

    災害時に備えたデータのバックアップや災害によってダメージを受けたシステムを復旧する仕組みづくり(ディザスタリカバリ)を実現するソリューションの導入をサポートします。

OTHER

Cato Cloud導入支援
サービス

Cato Cloud導入支援サービス Cato Cloud導入支援サービス

出典:Cato Networks

Cato Cloudは、ネットワークの接続・保護・管理を提供するコンバージド(統合)プラットフォームです。弊社は、お客様のご要望やシステムの規模に応じてPoC手配や機器調達、プロジェクト管理、テスト、運用サポートなど、最適な支援サービスを提供することが可能です。

  • FEATURE 01
    ONE NETWORK

    社内ネットワークをクラウドに接続するだけで、国内外問わず低遅延・最適経路な拠点間通信やインターネット通信、リモートアクセスが可能です。

  • FEATURE 02
    ONE SECULITY

    FirewallやSecure VPNなどのセキュリティ機能をクラウドで提供することで、一貫性のあるセキュリティ対策を行うことが可能です。

  • FEATURE 03
    ONE POLICY

    インターネットから提供されるクラウド管理コンソールにより、セキュリティーポリシーの設定からネットワークの利用状況の把握まで一元管理することが可能です。

標的型攻撃メール訓練
サービス

標的型メール攻撃から企業を守るためには、社員一人ひとりのリテラシー向上が必要不可欠です。弊社では、標的型メール訓練サービス「MudFix」を活用して組織内のリテラシー状況を細かく把握し、講習会と組み合わせることで企業のリテラシー向上を図ります。

標的型攻撃メール訓練サービス 標的型攻撃メール訓練サービス

STRENGTH

  • 高度なセキュリティ資格を
    有するエンジニアが
    対応します

    セキュリティに関わるCISSPやCHEなどの有資格者をはじめとする、高度なセキュリティの専門知識を有したエンジニアがサービスを提供します。
    保有資格一覧

    情報処理安全確保支援士試験(SC)

    CISSP(Certified Information Systems Security Professional)

    CEH(Certified Ethical Hacker、認定ホワイトハッカー)

    CompTIA PenTest +・Cybersecurity Analyst(CySA+)・CASP+

  • システム開発の上流工程から
    サービスを提供します

    弊社は、システム開発に関する幅広いサービス領域を展開しているため、診断結果やご要望に応じてアプリケーションやインフラの再構築からご提案することが可能です。

  • 診断から
    アフターフォローまで
    トータルサポートします

    専門のチームが対象となるシステムを診断し、最適なセキュリティ対策を施します。さらに、対策を施した後もお問い合わせの対応や再診断などのアフターフォローを実施することが可能です。

CASES

IT・ソフトウェア

アプリケーション診断
のアウトソーシング

自社開発・運用しているWEBアプリケーションに対し、お客様の手で年に一回程度脆弱性検査を実施していましたが、開発サイクルが高速化していく中でセキュリティを担保するのが難しくなっていたことから、弊社にセキュリティーサービスを依頼いただきました。

概要

セキュリティ診断サービスの「WEBアプリケーション診断」を3か月に1回実施することで、セキュリティの脆弱性を見つけ出し、必要応じて対応策を提案しています。

効果

診断の実施から再診断までを短期間・ローコストで実施できるため、年1回実施していた検査を3か月に1回という適正なスパンで開発サイクルに組み込むことができました。

製造業

標的型攻撃メール訓練サービスによる従業員リテラシーの向上

特定の企業や組織を狙った標的型攻撃メールが流行していたことから、従業員のリテラシー向上を狙って、弊社の「標的型攻撃メール訓練サービス」の導入を検討いただきました。

概要

MudFixを活用した標的型攻撃メール訓練サービスを導入しました。

効果

訓練をとおして従業員のリテラシーを向上させることができました。また、訓練結果を可視化し、前回の訓練結果と比較することで、リテラシーの向上を数字で確認できるようになりました。

実績紹介

その他のセキュリティサービス
導入実績については
こちらをご覧ください

CONTACT US

お問い合わせ

TOP