お問い合わせ
資料請求

SECURE-AID

SECURE-AID 脆弱性診断・分析・脆弱性の解消をワンストップでご提供

SECURE-AID
SECURE-AID

Webシステムの脆弱性を狙ったサイバー攻撃は深刻化

悪意ある第三者によるWebシステムの脆弱性を狙ったサイバー攻撃は深刻化しており、不正改ざんや情報漏えいといった被害も多発しています。被害を事前に防ぐためには、定期的なセキュリティ診断と対策の実施が不可欠ですが、継続的な対策実施はシステム担当者の負担になっています。

OSやミドルウェアを最新状態にするだけでは防げないこと

  • 暗号化強度の低いSSL接続を受け付ける設定 により、情報を盗み見られる可能性 が。
  • Webサーバーの設定ミス本来見えてはいけないファイルが見えていた。
  • アプリケーションに SQLインジェクションの問題 があった!
  • Webサーバーの設定ミス特定のディレクトリ配下に任意のファイルを置ける 状態になっていた。
  • phpの設定ミス で、システムの情報が参照し放題 になっていた。

セキュリティ確保のためには「脆弱性診断」と
それに基づく「対策実施」も必要です。

  • システムは、コンテンツの更新、利用ソフトウエアのアップデートなどで、次々と変化します。
  • セキュリティ対策はワンショットではなく、継続的に運用として実施していくことが重要です。

脆弱性診断導入時のよくあるお悩み

  • 脆弱性診断は、価格が高い
  • 診断結果の、自社システムへの影響度合いがわからない
  • 脆弱性対策によりユーザサービスに影響が出る。何か次善の策はないか?
  • 脆弱性の解消までを依頼できる委託先がない

SECUR-AID を導入いただくことで
お客様システム固有の事情に合せたセキュリティ対策を、
手軽に実施いただけます。

ご提供内容

脆弱性診断

OS・ミドルウェア・ネットワークの脆弱性を「tenable.io™」を利用し、自動診断を行います。

tenable.io™ は、Tenable Network Security 社が提供する、サーバー・ネットワークシステムに対する脆弱性診断ツールです。脆弱性検知スキャナーには世界中で広く利用されている Nessus を用い、定期診断および診断結果を可視化し、隠れたリスクを早期に把握できます。

診断項目

  • Linux OS kernel 診断
  • Windows OS kernel 診断
  • FreeBSD OS kernel 診断
  • HP-UX OS kernel 診断
  • Solaris OS kernel 診断
  • AIX OS kernel 診断
  • ネットワーク機器 OS ファームウエア診断
  • DoS 脆弱性診断
  • バックドア有無診断
  • DNS 脆弱性診断
  • FTPサーバー脆弱性診断
  • メールサーバー脆弱性診断
  • Webサーバー脆弱性診断
  • CMSソフトウエア診断(WordPress, Joomla!などのバージョン情報に基づく診断)
etc…

※自動診断ツール(tenable.io™)が提供する診断手法を用い、プラットフォーム(OS・ミドルウェア・ネットワーク)の脆弱性パターンを診断します。

診断結果レポート イメージ

脆弱性診断ツール 「tenable.io™」 が出力する、診断結果レポート(英語)をご提示します。

診断結果レポート
診断結果レポート

スマホ、Webアプリ、IoT機器の脆弱性診断も可能です

ホワイトハッカーが手動診断で、スマホアプリ、Webアプリ、IoT機器の脆弱性を診断し、分析レポートをご提示いたします。
詳しくは、SECURE-AID Advanced をご参照ください。

脆弱性診断結果の分析

脆弱性診断結果とお客様システム固有の情報を合わせ、技術者がお客様システムに特化した重要度と対応策を提示します。

脆弱性対応の優先度、ユーザへのサービス提供への影響の有無、影響がある場合の次善策などを、ご判断いただけます。

分析に利用する、お客様のシステム情報(例)

システム構成

  • ネットワーク構成、IPアドレス情報
  • パケットフィルタリング設定
  • OSの種類とバージョン (RedHat Linux, Ubuntu Linux, Windows Server など)
  • インストールされているミドルウェアとそのバージョン(apache, nginx, IIS, MySQL, PostgreSQL, MSSQL, perl, php など)
  • 起動しているデーモン (httpd, sshd, ftpd など)
  • ディレクトリ構成とパーミッション
  • システム(OS)ユーザの登録状況

システムが提供しているサービス

  • サイトの種類 (ECサイト、予約サイト、情報ポータルサイト、ゲームサイト、など)
  • サイトの主な機能(会員管理機能、通販のカート機能、情報検索機能、など)
  • 主なユーザ(個人ユーザ、企業ユーザ、PCユーザ、スマホユーザ、など)

制約条件

  • 動作要件(ブラウザにてアクセス、専用アプリにてアクセス、など)
  • ブラウザ動作要件(サービス仕様として、バージョン X 以上の IE 対応、フィーチャーフォン対応をうたっている、など)

分析レポート イメージ

分析レポート
分析レポート

脆弱性解消の代行

診断・分析結果に基づき、弊社技術者がお客様に代わってシステムの脆弱性の解消を実施いたします。

対応内容

  • サーバー

    • OS kernel、ライブラリのアップデート
    • OS kernelパラメータ設定調整
    • ミドルウエアのアップデート
    • 脆弱性を回避するためのミドルウエアの設定調整
  • ネットワーク機器

    • ネットワーク機器のファームウエアアップデート
    • 脆弱性を回避するためのネットワーク機器設定調整

※ お客様独自アプリケーション(開発ベンダにより作成されたものを含む)の修正対応は、ご提供外となります。

対応方法・ご利用条件

  • 対応作業は、リモートから実施します。
  • 対象サーバーやネットワーク機器へのログイン権限(管理者権限含む)を提供いただきます。
  • 有償OS(RedHat Enterprise Linux等)の場合は、アップデートパッケージを入手できるベンダーとのサポート契約をお客様にて締結いただいていることが条件となります。
  • 本番環境に対して対応を行う前にステージング環境に対して対応・確認を行う場合は、お客様にてステージング環境を準備いただくものとします。

料金

※「下記表は指でスライドさせてご覧いただけます。」
プラン 内容 単位 年間契約 SPOT契約
初期(税抜) 月額(税抜) SPOT(税抜)
脆弱性診断 診断ツール(tenable.io™)による自動診断・診断結果レポート(英語)。(*1) 1FQDN 24,000円 1,000円
脆弱性分析 脆弱性診断結果とお客様システム情報とをもとに、お客様システムへの実影響度を分析したレポート(日本語) 1回 (*2)198,000円
年12回まで (*2)40,700円
脆弱性
診断・分析パック
診断ツール(tenable.io™)による自動診断結果と、お客様システム情報をもとにした分析をパッケージ。 1FQDN
1回
(*2)223,000円
脆弱性分析 報告会 脆弱性分析結果の報告会(東京23区内)(*3) 1回 65,000円
脆弱性対応 脆弱性分析結果に基づき、対象システムの脆弱性解消のための対応を実施 (*4) 1回 264,000円~
年12回まで 個別お見積り 個別お見積り

(*1) 「脆弱性診断」の、最低ご利用期間は1年間となります。
(*2) 分析のためのログイン調査が不要な場合。より深い分析のためのログイン調査をご要望の場合は、別途費用をいただきます。詳細はお問い合わせください。また、脆弱性分析レポートは、メールにてお送りいたします。
(*3) 「脆弱性分析 報告会」は、「脆弱性分析」または「脆弱性診断・分析パック」をご契約いただいているお客様にご利用いただけます。23区外での開催をご希望の場合はお問い合わせください。
(*4) お客様独自アプリケーション(開発ベンダにより作成されたものを含む)の修正対応は、ご提供外となります。
(*4) 無償OSのパッケージ配布元のサポート期間内であること、有償OSの場合はOSベンダーとのサポート契約をお客様にて締結いただいていることを前提といたします。
(*4) 本番環境での対応前に、ステージング環境での対応・確認をご要望の場合は、お客様にてステージング環境をご用意いただくものとします。

よくあるご質問

[診断]サブドメインは別アドレスになりますか?

はい、サブドメインは別アドレスとなります。

[診断] 診断方法を教えてください。

プラットフォーム診断(サーバーOS・ミドルウェア・ネットワーク)は、Tenable社のクラウド型診断ツール tenable.io™ を利用して自動診断を行います。手動診断をご希望の場合は SECURE-AID Advanced をご参照ください。

[診断] 診断のタイミングを教えてください。

定期診断は、最大週1回まで実行できます。加えて、任意のタイミングでの診断も月1回まで可能です。診断開始日とだいたいの開始時間をご指定いただけます。(例:「毎週何曜日何時頃」というご指定)

[診断] 診断中のサーバーへの負荷はどのくらいでしょうか?

診断項目は各項目を順番に実行し、一度に大量のアクセスを実行しませんので、お客様サーバーの稼働に影響はありません。

[診断] WEBサーバー診断時のサイトの階層・ページ数に制限はありますか?

トップページから 6階層、最大1,000ページまでとさせていただきます。1,000ページを超えるサイトの診断も可能ですが、追加料金についてはお問い合わせください。

[診断] WEBサーバー診断で診断ができないページはありますか?

HTTP の GET と POST による通信を行っている場合は可能ですが、JavaScript 等のプログラムで画面を生成しているページは診断不可となります。

[診断] 診断項目に “DoS脆弱性診断” がありますが、実際の DoS 攻撃をするのですか? 診断でサーバがダウンするのは困るのですが。

DoS脆弱性は、OSやミドルウエアのバージョンや応答内容など、関連する診断結果を元に判定します。実際の攻撃は行いません。

[診断&分析] 診断結果レポートと、分析レポートの違いはなんですか?

「診断結果レポート(英語)」は、自動診断ツールが提示する一般的な脆弱性と対策をまとめたものです。「分析レポート(日本語)」は、お客様システムへの実影響度を分析の上、具体的な対策方法をまとめたものとなります。

[分析] 分析してもらうために、用意が必要な情報はありますか?

お客様システム情報(システム構成資料など)を提示いただきます。提示いただく必要がある情報一覧については弊社からお知らせします。弊社にてシステム構成等の情報を調査させていただくこともできます(お問い合わせください)。

他、サービスへのご質問は、下記お問合せフォームよりお気軽にお問い合わせください。

サービスへのお問い合わせ

SECURE-AIDに関しての詳細情報をご希望の場合は、
お問い合わせフォームまたは下記電話番号よりご連絡ください。

03-5946-8405

SECURE-AID
利用規約(PDF)ダウンロード
お問い合わせはこちら
page top