セキュリティ
脆弱性診断

システムの健康診断を実施し、お客様環境の安全性を診断いたします。

サイバー攻撃の現状と企業に求められるセキュリティ対策が3分で分かる
オリジナル動画公開中!

セキュリティ脆弱性診断サービスが求められる背景

セキュリティ脆弱性診断サービスが求められる背景
設定ミスや不要なサービスの稼働があるなど、導入後にメンテナンスをしていないシステムは、サイバー攻撃の格好の餌食となってしまいます。サイバー攻撃にあうと自社が被害者となるだけでなく、「自社が加害者」となってしまうこともあります。

セキュリティ脆弱性診断は、現在のセキュリティ状態を把握し、効果的な対策をしていただくために定期的に実施すべきシステムの健康診断といえるサービスです。
脆弱性の把握・対処

活用ケース例

セキュリティ脆弱性診断サービスは、以下のようなケースでお使いいただいています。
  • 自社やグループ会社、同業他社でセキュリティインシデントが発生した際の対策
  • システム開発やインフラ構築における本番リリース時のセキュリティ担保
  • PCI DSSなどガイドライン準拠や認証取得
  • 自社や所属団体の情報セキュリティルール遵守
  • セキュリティ投資する前の現状把握

導入実績

製造業

脆弱性診断事例(製造業)

従業員数

1,000名以上

導入前の課題

社外向け新サービスのリリースにあたり、脆弱性がないか確認したい

診断サービス

WEBアプリケーション診断

人材派遣業

脆弱性診断事例(人材派遣業)

従業員数

1,000名以上

導入前の課題

公開中の会員向けWEBサイトについて、セキュリティ上の課題を把握したい

診断サービス

WEBアプリケーション診断

不動産業

脆弱性診断事例(不動産業)

従業員数

5,000名以上(グループ連結)

導入前の課題

新規スマートフォンアプリケーションのリリースにあたり、脆弱性がないか確認したい

診断サービス

プラットフォーム診断
スマートフォンアプリケーション診断

5つのサービスで現状の課題を診断・対処法を提案 

セキュリティ脆弱性診断サービスでは、5つの診断メニューをご用意しています。
ネットワーク診断
プラットフォーム診断
  • 実績豊富な診断ツールを使用

  • 高度なスキルを持つセキュリティエンジニアが診断を実施

WEBアプリ診断
WEBアプリケーション診断
  • 日本語(マルチバイト文字)への完全対応
  • 日本国内におけるセキュリティの最新トレンドを組み込んだ診断を実施
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断
  • iPhone/iPad、Androidアプリに対応
  • サーバサイド、アプリケーション、端末内データなどを対象に診断を実施
ペネトレーションテスト
  • 攻撃者と同様の手口で疑似攻撃を行い、どの程度の被害に繋がるかセキュリティ強度の評価を実施
      

IoTセキュリティ診断
  • IoT機器や業界・組織によって求められるガイドライン・ポリシーのセキュリティ基準要件の項目に関する診断を実施
     

プラットフォーム診断

お客様のシステムを構成するサーバやファイヤーウォール等のネットワーク機器に対して、OSやアプリケーションに潜むセキュリティホール(弱点・脆弱性)が存在しないかどうかをネットワーク経由にて診断し、対応策を提示します。これにより不正アクセスやセキュリティ事故を拡大させる踏み台になってしまう等の危険性を洗い出すことができます。
特徴
実績豊富な診断ツールを用いて、高度なスキルを持つセキュリティエンジニアが診断を行うことで、ツール診断に散見する誤検知を省きながら網羅性と正確性の高い診断を行います。
プラットフォーム診断の診断項目
  • バックドアが仕掛けられているかどうかのチェック
  • 危険なCGIの検出、クロスサイトスクリプティングの可能性
  • DNS、メールサーバに関する脆弱性チェック
  • データベースに関する脆弱性チェック
  • UNIXデフォルトアカウントのチェック
  • DoSを受け付けてしまう弱点の検査
  • FTPに関する脆弱性チェック
  • FireWallに関する脆弱性チェック
  • リモートからシェルが奪取できる可能性をチェック
  • 他のカテゴリには含まれない脆弱性をチェック
  • 一般的には利用されないソフトや機器のチェック
  • P2Pのファイル共有に関する脆弱性チェック
  • RPCに関する脆弱性チェック
  • 特定のポートで稼働しているソフトのタイプを識別
  • Webサーバに関する脆弱性チェック
  • Windowsに関する脆弱性チェック
  • Windowsのユーザー管理に関する脆弱性チェック

WEBアプリケーション診断

経験豊かなセキュリティ技術者がWebサーバ上で稼動するアプリケーションに対し、外部から擬似攻撃を行い、Webアプリケーションに潜む脆弱性や潜在要因を診断します。これによりWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
特徴
純国産の診断ツールを用いて、日本語(マルチバイト文字)への完全対応はもちろんのこと、日本国内におけるセキュリティの最新トレンドも組み込んだ診断を行います。
WEBアプリケーション診断の診断項目
  • SQLインジェクション
  • OSコマンドインジェクション
  • パラメータ操作による脆弱性
  • クロスサイトスクリプティング
  • セキュア属性の無いCookie
  • 不要なエラーコードの表示
  • バッファーオーバーフロー
  • クロスサイトリクエストフォージェリ
  • セッション管理に関する問題
  • プロトコルの不適切な適用
  • 不要なエラーメッセージの表示
  • HTML5のクロスオリジン設定に関する問題
  • HTML5のレスポンスヘッダに関する問題
  • SandBox属性の無いインラインフレーム
  • Webサーバ設定ミスによるサーバ情報、アプリ情報の漏えい
  • Webサーバのディレクトリやファイルの不適切な公開設定
  • Webサーバの既知の脆弱性

スマートフォンアプリケーション診断

スマートフォンアプリケーションは従来の環境に⽐べてオープンな環境である為、様々なセキュリティの脅威にさらされる傾向にあります。iOS、iPadOS、Androidアプリケーションに対し、様々な疑似的攻撃を⾏い、アプリケーションに潜む脆弱性を診断することで、被害の危険性を洗い出すことができます。
特徴
サーバサイド、スマートフォンアプリケーション、端末内データ、バイナリ等、様々な内容を対象に、経験豊富なセキュリティエンジニアによる診断を⾏います。

ペネトレーションテスト

システムの脆弱性有無の調査を目的とする他の診断メニューに対し、ペネトレーションテストではその脆弱性を突かれた場合にどの程度の被害に繋るかを確認・検証します。
あらゆる経路から侵入を検討、疑似攻撃を実施し、弱点を発見します。攻撃に対してどの程度の耐性を持っているかなどセキュリティ対策の強度を評価し、課題を洗い出すことができます。
お客様のご要望や対象システム・環境に合わせてテスト方式を決定します。
特徴
CEH(Certified Ethical Hacker:認定ホワイトハッカー)やCHFI(Computer Hacking Forensic Investigatorコンピュータ ハッキング フォレンジック調査員)等の高度なセキュリティ資格保持者により実施されます。

IoTセキュリティ診断

IoT機器は利用シーンに応じたあらゆるデバイスの種類が存在し、手軽に構築して利用することが可能である一方、利用者のITリテラシーには隔たりがありセキュリティ侵害に気付く可能性も低いです。
疑似的に攻撃を行って診断することで当事者では気づかない脆弱性を検出し、課題を洗い出すことができます。
また、機関や組織、業種等で定められた規約やガイドラインで求められているセキュリティ要件に基づいた試験を行う必要が有る際にも、可能な範囲で実施いたします。
特徴
IoT機器に対して適切と思われる診断項目を選定し、セキュリティのテスト手法を駆使して手動でのテストや自動テストツールを組合せ、網羅的な診断を行います。

診断方法

お客様環境に対しリモートもしくはオンサイトにて疑似アタックを実施します。
診断方法

サービスの流れ

セキュリティ脆弱性診断サービスでは、以下の流れで診断を実施します。

STEP1
ヒアリング

・対象機器情報
・実施期間
・システム環境情報など

STEP2
プランニング

お客様に最も負担がかからず効率的な検査ができるようプランニング

STEP3
診断

・プラットフォーム診断
・WEBアプリケーション診断
・ペネトレーションテスト
・IoTセキュリティ診断

STEP4
レポート

・診断結果報告
・解決方法提案

セキュリティ脆弱性診断レポート
サンプルをお送りします

具体的なレポートのサンプルをご確認いただけます。
お気軽にお問い合わせください。

セキュリティ脆弱性診断

リーフレット、サービス紹介資料をご覧いただけます。
ご不明点はお気軽にお問い合わせください。