セキュリティ
脆弱性診断

システムの健康診断を実施し、お客様環境の安全性を診断いたします。

サイバー攻撃の現状と企業に求められるセキュリティ対策が３分で分かる
オリジナル動画公開中！

セキュリティ脆弱性診断サービスが求められる背景

設定ミスや不要なサービスの稼働があるなど、導入後にメンテナンスをしていないシステムは、サイバー攻撃の格好の餌食となってしまいます。サイバー攻撃にあうと自社が被害者となるだけでなく、「自社が加害者」となってしまうこともあります。

セキュリティ脆弱性診断は、現在のセキュリティ状態を把握し、効果的な対策をしていただくために定期的に実施すべきシステムの健康診断といえるサービスです。

活用ケース例

セキュリティ脆弱性診断サービスは、以下のようなケースでお使いいただいています。

自社やグループ会社、同業他社でセキュリティインシデントが発生した際の対策
システム開発やインフラ構築における本番リリース時のセキュリティ担保
PCI DSSなどガイドライン準拠や認証取得
自社や所属団体の情報セキュリティルール遵守
セキュリティ投資する前の現状把握

導入実績

製造業

従業員数

1,000名以上

導入前の課題

社外向け新サービスのリリースにあたり、脆弱性がないか確認したい

診断サービス

WEBアプリケーション診断

人材派遣業

従業員数

1,000名以上

導入前の課題

公開中の会員向けWEBサイトについて、セキュリティ上の課題を把握したい

診断サービス

WEBアプリケーション診断

不動産業

従業員数

5,000名以上(グループ連結)

導入前の課題

新規スマートフォンアプリケーションのリリースにあたり、脆弱性がないか確認したい

診断サービス

プラットフォーム診断
スマートフォンアプリケーション診断

５つのサービスで現状の課題を診断・対処法を提案　

セキュリティ脆弱性診断サービスでは、５つの診断メニューをご用意しています。

プラットフォーム診断

実績豊富な診断ツールを使用
高度なスキルを持つセキュリティエンジニアが診断を実施

詳しくみる

WEBアプリケーション診断

日本語（マルチバイト文字）への完全対応
日本国内におけるセキュリティの最新トレンドを組み込んだ診断を実施

詳しくみる

スマートフォンアプリケーション診断

iPhone/iPad、Androidアプリに対応
サーバサイド、アプリケーション、端末内データなどを対象に診断を実施

詳しくみる

ペネトレーションテスト

攻撃者と同様の手口で疑似攻撃を行い、どの程度の被害に繋がるかセキュリティ強度の評価を実施

詳しくみる

IoTセキュリティ診断

IoT機器や業界・組織によって求められるガイドライン・ポリシーのセキュリティ基準要件の項目に関する診断を実施

詳しくみる

プラットフォーム診断

お客様のシステムを構成するサーバやファイヤーウォール等のネットワーク機器に対して、OSやアプリケーションに潜むセキュリティホール（弱点・脆弱性）が存在しないかどうかをネットワーク経由にて診断し、対応策を提示します。これにより不正アクセスやセキュリティ事故を拡大させる踏み台になってしまう等の危険性を洗い出すことができます。

特徴
実績豊富な診断ツールを用いて、高度なスキルを持つセキュリティエンジニアが診断を行うことで、ツール診断に散見する誤検知を省きながら網羅性と正確性の高い診断を行います。

プラットフォーム診断の診断項目

バックドアが仕掛けられているかどうかのチェック
危険なCGIの検出、クロスサイトスクリプティングの可能性
DNS、メールサーバに関する脆弱性チェック
データベースに関する脆弱性チェック
UNIXデフォルトアカウントのチェック
DoSを受け付けてしまう弱点の検査
FTPに関する脆弱性チェック
FireWallに関する脆弱性チェック
リモートからシェルが奪取できる可能性をチェック

他のカテゴリには含まれない脆弱性をチェック
一般的には利用されないソフトや機器のチェック
P2Pのファイル共有に関する脆弱性チェック
RPCに関する脆弱性チェック
特定のポートで稼働しているソフトのタイプを識別
Webサーバに関する脆弱性チェック
Windowsに関する脆弱性チェック
Windowsのユーザー管理に関する脆弱性チェック

WEBアプリケーション診断

経験豊かなセキュリティ技術者がWebサーバ上で稼動するアプリケーションに対し、外部から擬似攻撃を行い、Webアプリケーションに潜む脆弱性や潜在要因を診断します。これによりWebサイトの機密（重要）情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。

特徴
純国産の診断ツールを用いて、日本語（マルチバイト文字）への完全対応はもちろんのこと、日本国内におけるセキュリティの最新トレンドも組み込んだ診断を行います。

WEBアプリケーション診断の診断項目

SQLインジェクション
OSコマンドインジェクション
パラメータ操作による脆弱性
クロスサイトスクリプティング
セキュア属性の無いCookie
不要なエラーコードの表示
バッファーオーバーフロー
クロスサイトリクエストフォージェリ
セッション管理に関する問題

プロトコルの不適切な適用
不要なエラーメッセージの表示
HTML5のクロスオリジン設定に関する問題
HTML5のレスポンスヘッダに関する問題
SandBox属性の無いインラインフレーム
Webサーバ設定ミスによるサーバ情報、アプリ情報の漏えい
Webサーバのディレクトリやファイルの不適切な公開設定
Webサーバの既知の脆弱性

スマートフォンアプリケーション診断

スマートフォンアプリケーションは従来の環境に⽐べてオープンな環境である為、様々なセキュリティの脅威にさらされる傾向にあります。iOS、iPadOS、Androidアプリケーションに対し、様々な疑似的攻撃を⾏い、アプリケーションに潜む脆弱性を診断することで、被害の危険性を洗い出すことができます。

特徴
サーバサイド、スマートフォンアプリケーション、端末内データ、バイナリ等、様々な内容を対象に、経験豊富なセキュリティエンジニアによる診断を⾏います。

ペネトレーションテスト

システムの脆弱性有無の調査を目的とする他の診断メニューに対し、ペネトレーションテストではその脆弱性を突かれた場合にどの程度の被害に繋るかを確認・検証します。
あらゆる経路から侵入を検討、疑似攻撃を実施し、弱点を発見します。攻撃に対してどの程度の耐性を持っているかなどセキュリティ対策の強度を評価し、課題を洗い出すことができます。
お客様のご要望や対象システム・環境に合わせてテスト方式を決定します。

特徴
CEH（Certified Ethical Hacker：認定ホワイトハッカー)やCHFI（Computer Hacking Forensic Investigatorコンピュータハッキングフォレンジック調査員)等の高度なセキュリティ資格保持者により実施されます。

IoTセキュリティ診断

IoT機器は利用シーンに応じたあらゆるデバイスの種類が存在し、手軽に構築して利用することが可能である一方、利用者のITリテラシーには隔たりがありセキュリティ侵害に気付く可能性も低いです。
疑似的に攻撃を行って診断することで当事者では気づかない脆弱性を検出し、課題を洗い出すことができます。
また、機関や組織、業種等で定められた規約やガイドラインで求められているセキュリティ要件に基づいた試験を行う必要が有る際にも、可能な範囲で実施いたします。

特徴
IoT機器に対して適切と思われる診断項目を選定し、セキュリティのテスト手法を駆使して手動でのテストや自動テストツールを組合せ、網羅的な診断を行います。

診断方法

お客様環境に対しリモートもしくはオンサイトにて疑似アタックを実施します。

サービスの流れ

セキュリティ脆弱性診断サービスでは、以下の流れで診断を実施します。

STEP1
ヒアリング

・対象機器情報
・実施期間
・システム環境情報など

STEP2
プランニング

お客様に最も負担がかからず効率的な検査ができるようプランニング

STEP3
診断

・プラットフォーム診断
・WEBアプリケーション診断
・ペネトレーションテスト
・IoTセキュリティ診断

STEP4
レポート

・診断結果報告
・解決方法提案