セキュリティ
脆弱性診断
システムの健康診断を実施し、お客様環境の安全性を診断いたします。
セキュリティ
サイバー攻撃の現状と企業に求められるセキュリティ対策が3分で分かる
オリジナル動画公開中!
セキュリティ脆弱性診断サービスが求められる背景
設定ミスや不要なサービスの稼働があるなど、導入後にメンテナンスをしていないシステムは、サイバー攻撃の格好の餌食となってしまいます。サイバー攻撃にあうと自社が被害者となるだけでなく、「自社が加害者」となってしまうこともあります。
セキュリティ脆弱性診断は、現在のセキュリティ状態を把握し、効果的な対策をしていただくために定期的に実施すべきシステムの健康診断といえるサービスです。
セキュリティ脆弱性診断は、現在のセキュリティ状態を把握し、効果的な対策をしていただくために定期的に実施すべきシステムの健康診断といえるサービスです。
活用ケース例
セキュリティ脆弱性診断サービスは、以下のようなケースでお使いいただいています。
- 自社やグループ会社、同業他社でセキュリティインシデントが発生した際の対策
- システム開発やインフラ構築における本番リリース時のセキュリティ担保
- PCI DSSなどガイドライン準拠や認証取得
- 自社や所属団体の情報セキュリティルール遵守
- セキュリティ投資する前の現状把握
導入実績
製造業
従業員数
1,000名以上
導入前の課題
社外向け新サービスのリリースにあたり、脆弱性がないか確認したい
診断サービス
WEBアプリケーション診断
人材派遣業
従業員数
1,000名以上
導入前の課題
公開中の会員向けWEBサイトについて、セキュリティ上の課題を把握したい
診断サービス
WEBアプリケーション診断
不動産業
従業員数
5,000名以上(グループ連結)
導入前の課題
新規スマートフォンアプリケーションのリリースにあたり、脆弱性がないか確認したい
診断サービス
プラットフォーム診断
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断
多様なサービスで現状の課題を診断・対処法を提案
セキュリティ脆弱性診断サービスでは、多様な診断メニューをご用意しています。
攻撃対象領域の把握
ASM診断
ASM診断
外部から見えている自社のIT資産を洗い出し、攻撃者に狙われやすいセキュリティ上の弱点を可視化。
脆弱性検知
プラットフォーム診断
プラットフォーム診断
実績豊富な診断ツールを活用し、高度なスキルを持つセキュリティエンジニアが診断を実施。
脆弱性検知
AWS設定診断
AWS設定診断
CIS Amazon Web Service Foundations Benchmark などの設定ガイドラインに基づき診断を実施。
脆弱性検知
WEBアプリケーション診断
WEBアプリケーション診断
日本語(マルチバイト文字)への完全対応はもちろん、日本国内におけるセキュリティの最新トレンドを組み込んだ診断を実施。
脆弱性検知
スマートフォン
アプリケーション診断
スマートフォン
アプリケーション診断
iPhone/iPad、Androidアプリに対応し、サーバサイド、アプリケーション、端末内データなどを対象とした診断を実施。
脆弱性検知
IoTセキュリティ診断
IoTセキュリティ診断
IoT機器や業界・組織によって求められるガイドライン・ポリシーのセキュリティ基準要件の項目に関する診断を実施。
攻撃耐性評価
ペネトレーションテスト
ペネトレーションテスト
攻撃者と同様の手口で疑似攻撃を行い、どの程度の被害に繋がるかセキュリティ強度の評価を実施。
攻撃対象領域の把握
ASM診断
一般的なセキュリティ診断が、あらかじめ決められたシステムを対象に詳細を確認する「検査(しきい値との比較)」であるのに対し、ASM診断は、これまで把握できていなかったIT資産も含めて洗い出す「点検(網羅的な有無把握)」です。
近年のセキュリティ事故では、「存在を認識していなかったサーバ」や「設定ミスのまま公開されていた環境」が原因となるケースが増えています。こうしたリスクを未然に防ぐ取り組みとして、ASMが注目されています。
近年のセキュリティ事故では、「存在を認識していなかったサーバ」や「設定ミスのまま公開されていた環境」が原因となるケースが増えています。こうしたリスクを未然に防ぐ取り組みとして、ASMが注目されています。
特徴
ASM診断は、インターネット上に公開されているドメインやサブドメイン、IPアドレスなどの情報をもとに、外部から攻撃される可能性のあるIT資産を可視化し、リスクを整理する診断サービスです。自社で把握できていない公開資産や設定不備を洗い出すことで、サイバー攻撃の入口となり得るポイントを把握することができます。
ASM診断は、インターネット上に公開されているドメインやサブドメイン、IPアドレスなどの情報をもとに、外部から攻撃される可能性のあるIT資産を可視化し、リスクを整理する診断サービスです。自社で把握できていない公開資産や設定不備を洗い出すことで、サイバー攻撃の入口となり得るポイントを把握することができます。
脆弱性検知
プラットフォーム診断
お客様のシステムを構成するサーバやファイヤーウォール等のネットワーク機器に対して、OSやアプリケーションに潜むセキュリティホール(弱点・脆弱性)が存在しないかどうかをネットワーク経由にて診断し、対応策を提示します。これにより不正アクセスやセキュリティ事故を拡大させる踏み台になってしまう等の危険性を洗い出すことができます。
特徴
実績豊富な診断ツールを用いて、高度なスキルを持つセキュリティエンジニアが診断を行うことで、ツール診断に散見する誤検知を省きながら網羅性と正確性の高い診断を行います。
実績豊富な診断ツールを用いて、高度なスキルを持つセキュリティエンジニアが診断を行うことで、ツール診断に散見する誤検知を省きながら網羅性と正確性の高い診断を行います。
プラットフォーム診断の診断項目
- バックドアが仕掛けられているかどうかのチェック
- 危険なCGIの検出、クロスサイトスクリプティングの可能性
- DNS、メールサーバに関する脆弱性チェック
- データベースに関する脆弱性チェック
- UNIXデフォルトアカウントのチェック
- DoSを受け付けてしまう弱点の検査
- FTPに関する脆弱性チェック
- FireWallに関する脆弱性チェック
- リモートからシェルが奪取できる可能性をチェック
- 他のカテゴリには含まれない脆弱性をチェック
- 一般的には利用されないソフトや機器のチェック
- P2Pのファイル共有に関する脆弱性チェック
- RPCに関する脆弱性チェック
- 特定のポートで稼働しているソフトのタイプを識別
- Webサーバに関する脆弱性チェック
- Windowsに関する脆弱性チェック
- Windowsのユーザー管理に関する脆弱性チェック
脆弱性検知
AWS設定診断
アマゾン ウェブ サービス (AWS) を利用したシステムで起こるセキュリティ事故の多くは、サービス自体の問題ではなく、IAM権限・ログ・ネットワークなどの設定ミスが原因で発生しています。AWS設定診断では、実際に使われている環境とCIS Amazon Web Service Foundations Benchmark などの設定ガイドラインを比較し、リスクのある設定がされていないか診断を行います。
特徴
CIS Amazon Web Service Foundations Benchmark などの アマゾン ウェブ サービス (AWS) の設定ガイドラインと実環境の差分を可視化し、危険度を診断します。
CIS Amazon Web Service Foundations Benchmark などの アマゾン ウェブ サービス (AWS) の設定ガイドラインと実環境の差分を可視化し、危険度を診断します。
脆弱性検知
WEBアプリケーション診断
経験豊かなセキュリティ技術者がWebサーバ上で稼動するアプリケーションに対し、外部から擬似攻撃を行い、Webアプリケーションに潜む脆弱性や潜在要因を診断します。これによりWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
特徴
純国産の診断ツールを用いて、日本語(マルチバイト文字)への完全対応はもちろんのこと、日本国内におけるセキュリティの最新トレンドも組み込んだ診断を行います。
純国産の診断ツールを用いて、日本語(マルチバイト文字)への完全対応はもちろんのこと、日本国内におけるセキュリティの最新トレンドも組み込んだ診断を行います。
WEBアプリケーション診断の診断項目
- SQLインジェクション
- OSコマンドインジェクション
- パラメータ操作による脆弱性
- クロスサイトスクリプティング
- セキュア属性の無いCookie
- 不要なエラーコードの表示
- バッファーオーバーフロー
- クロスサイトリクエストフォージェリ
- セッション管理に関する問題
- プロトコルの不適切な適用
- 不要なエラーメッセージの表示
- HTML5のクロスオリジン設定に関する問題
- HTML5のレスポンスヘッダに関する問題
- SandBox属性の無いインラインフレーム
- Webサーバ設定ミスによるサーバ情報、アプリ情報の漏えい
- Webサーバのディレクトリやファイルの不適切な公開設定
- Webサーバの既知の脆弱性
脆弱性検知
スマートフォンアプリケーション診断
スマートフォンアプリケーションは従来の環境に⽐べてオープンな環境である為、様々なセキュリティの脅威にさらされる傾向にあります。iOS、iPadOS、Androidアプリケーションに対し、様々な疑似的攻撃を⾏い、アプリケーションに潜む脆弱性を診断することで、被害の危険性を洗い出すことができます。
特徴
サーバサイド、スマートフォンアプリケーション、端末内データ、バイナリ等、様々な内容を対象に、経験豊富なセキュリティエンジニアによる診断を⾏います。
サーバサイド、スマートフォンアプリケーション、端末内データ、バイナリ等、様々な内容を対象に、経験豊富なセキュリティエンジニアによる診断を⾏います。
脆弱性検知
IoTセキュリティ診断
IoT機器は利用シーンに応じたあらゆるデバイスの種類が存在し、手軽に構築して利用することが可能である一方、利用者のITリテラシーには隔たりがありセキュリティ侵害に気付く可能性も低いです。
疑似的に攻撃を行って診断することで当事者では気づかない脆弱性を検出し、課題を洗い出すことができます。
また、機関や組織、業種等で定められた規約やガイドラインで求められているセキュリティ要件に基づいた試験を行う必要が有る際にも、可能な範囲で実施いたします。
疑似的に攻撃を行って診断することで当事者では気づかない脆弱性を検出し、課題を洗い出すことができます。
また、機関や組織、業種等で定められた規約やガイドラインで求められているセキュリティ要件に基づいた試験を行う必要が有る際にも、可能な範囲で実施いたします。
特徴
IoT機器に対して適切と思われる診断項目を選定し、セキュリティのテスト手法を駆使して手動でのテストや自動テストツールを組合せ、網羅的な診断を行います。
IoT機器に対して適切と思われる診断項目を選定し、セキュリティのテスト手法を駆使して手動でのテストや自動テストツールを組合せ、網羅的な診断を行います。
攻撃態勢評価
ペネトレーションテスト
システムの脆弱性有無の調査を目的とする他の診断メニューに対し、ペネトレーションテストではその脆弱性を突かれた場合にどの程度の被害に繋がるかを確認・検証します。
あらゆる経路から侵入を検討、疑似攻撃を実施し、弱点を発見します。攻撃に対してどの程度の耐性を持っているかなどセキュリティ対策の強度を評価し、課題を洗い出すことができます。
お客様のご要望や対象システム・環境に合わせてテスト方式を決定します。
あらゆる経路から侵入を検討、疑似攻撃を実施し、弱点を発見します。攻撃に対してどの程度の耐性を持っているかなどセキュリティ対策の強度を評価し、課題を洗い出すことができます。
お客様のご要望や対象システム・環境に合わせてテスト方式を決定します。
特徴
CEH(Certified Ethical Hacker:認定ホワイトハッカー)やCHFI(Computer Hacking Forensic Investigatorコンピュータ ハッキング フォレンジック調査員)等の高度なセキュリティ資格保持者により実施されます。
CEH(Certified Ethical Hacker:認定ホワイトハッカー)やCHFI(Computer Hacking Forensic Investigatorコンピュータ ハッキング フォレンジック調査員)等の高度なセキュリティ資格保持者により実施されます。
診断方法
脆弱性検知 攻撃態勢評価 では、
お客様環境に対しリモートもしくはオンサイトにて疑似アタックを実施し、診断を行います。
お客様環境に対しリモートもしくはオンサイトにて疑似アタックを実施し、診断を行います。
サービスの流れ
セキュリティ脆弱性診断サービスでは、以下の流れで診断を実施します。
- STEP.01ヒアリング対応範囲・実施期間・システム環境情報などのご確認
- STEP.02プランニングお客様に最も負担がかからず効率的な検査ができるようプランニング
- STEP.03診断各診断の実施
- STEP.04レポート診断結果報告と解決方法のご提案
セキュリティ脆弱性診断レポート
サンプルをお送りします
具体的なレポートのサンプルをご確認いただけます。
お気軽にお問い合わせください。
お気軽にお問い合わせください。
ご不明な点はお気軽に
お問い合わせください
お問い合わせください
詳しい資料はこちら
© 2026 CRESCO LTD.