SECURE-AID EX | クラウド導入・システム運用ならアールワークスへ

SECURE-AID EXとは
ご提供内容
料金
よくあるご質問

SECURE-AID 脆弱性診断・分析・脆弱性の解消をワンストップでご提供

企業のIT資産は多岐に渡り、サイバー攻撃は年々高度化

サーバー、ネットワーク、クラウド、Webアプリケーションなど、企業が管理する情報システムは複雑化する中で、多様な脆弱性が発生し、脆弱性情報の公開直後にこれを突くような攻撃が後を絶ちません。人手による脆弱性管理は運用に限界があり、IT資産管理の自動化による対応が効果的です（NISC「政府機関等の情報セキュリティ対策のための統一基準群の見直し（骨子）」より）。

情報システム責任者の方のお悩み

定期的に脆弱性診断をしたいが、デバイスの把握や対応状況の把握が難しい。
脆弱性診断結果に対する、優先順位付けがわからない。
脆弱性を解消したいが、人手が足りない。

SECURE-AID EX を導入いただくことで、
お客様システム固有の事情に合わせた脆弱性管理を、
手軽に実施いただけます。

SECURE-AID EX の特長

point1

FORTUNE250企業も利用する診断ツール「tenable.io™ 」による、脆弱性の外部・内部診断。PCI ASV による外部スキャンにも対応。

CVE カバレッジ 47,000以上、新たに特定された脆弱性情報は、平均24時間内に反映されます。「tenabl.io™」提供元であるTenable Network Security 社は、PCI ASV ベンダでもあるため、診断結果をそのまま ASV レビューにかけることができ、四半期毎のスキャン負荷を軽減できます。

point2

診断結果のリアルタイム表示、セキュリティリスクを5段階で評価。脆弱性情報ダッシュボードで、脆弱性の種類や深刻度など、様々な視点から分析できます。

診断結果のセキュリティリスクを５段階で評価。脆弱性や設定ミスを迅速に特定できます。診断対象・脆弱性種類・深刻度など、複数のビューで参照・分析でき、脆弱性の継続的な管理をサポートします。

point3

お客様システム固有の事情に合わせてリスクを分析、優先順位付けと脆弱性の解消を代行。

脆弱性診断結果とお客様システム固有の情報を合わせ、技術者がお客様システムに特化した重要度と対応策を提示します（脆弱性対応の優先度、ユーザへのサービス提供への影響の有無、影響がある場合の次善策などを、ご判断いただけます）。また、診断・分析結果に基づき、当社技術者がお客様に代わってシステムの脆弱性の解消を実施いたします。

ご提供内容

脆弱性診断

OS・ミドルウェア・ネットワークの脆弱性を、「tenable.io™ Vulnerability Management 」を利用し自動診断、診断結果レポート（英語）をご提示いたします。tenable.io™ は、Tenable Network Security 社が提供する、サーバー・ネットワークシステムに対する脆弱性診断ツールです。脆弱性検知スキャナーには世界中で広く利用されている Nessus を用い定期診断を実施、診断結果を可視化し隠れたリスクを早期に把握できます。

診断項目

Linux OS kernel 診断
Windows OS kernel 診断
FreeBSD OS kernel 診断
HP-UX OS kernel 診断
Solaris OS kernel 診断
AIX OS kernel 診断
ネットワーク機器 OS ファームウエア診断
DoS 脆弱性診断
バックドア有無診断
DNS 脆弱性診断
FTPサーバー脆弱性診断

メールサーバー脆弱性診断
Webサーバー脆弱性診断
CMSソフトウエア診断(WordPress, Joomla!などのバージョン情報に基づく診断)

etc…

※自動診断ツールが提供する診断手法を用い、プラットフォーム（OS・ミドルウェア・ネットワーク）の脆弱性パターンを診断します。

診断結果レポート　イメージ

脆弱性診断ツールが出力する、診断結果レポート（英語）をご提示します。

PCI コンプライアンス対応

クレジットカード業界の情報セキュリティ基準である、PCI DSS要件に準拠した診断テンプレートがプリセットされています。また、Tenable Network Security社は PCI ASV ベンダであるため、PCI DSS 要件 11.2.2 に準拠したスキャンレポートの作成とASV レビューを依頼でき、四半期ごとの PCI ASV スキャン負荷を軽減できます。

PCI DSS 要件		SECURE- AID EX
2.2	構成コンプライアンス	●
6.1	ベンダ提供の最新のセキュリティパッチが適用されていることの確認	●
6.2	新たな脆弱性を識別し、リスク評価を割り当てるプロセスの確立	●
6.6	Webアプリケーションの継続的な脆弱性スキャン
11.2.1	内部の脆弱性スキャン	●
11.2.2	PCI ASVスキャナによる外部の脆弱性診断	●

脆弱性診断結果の分析

脆弱性診断結果とお客様システム固有の情報を合わせ、技術者がお客様システムに特化した重要度と対応策を提示します。

脆弱性対応の優先度、ユーザへのサービス提供への影響の有無、影響がある場合の次善策などを、ご判断いただけます。

分析に利用する、お客様のシステム情報（例）

システム構成

ネットワーク構成、IPアドレス情報
パケットフィルタリング設定
OSの種類とバージョン　（RedHat Linux, Ubuntu Linux, Windows Server など)
インストールされているミドルウェアとそのバージョン（apache, nginx, IIS, MySQL, PostgreSQL, MSSQL, perl, php など)
起動しているデーモン (httpd, sshd, ftpd など)
ディレクトリ構成とパーミッション
システム（OS)ユーザの登録状況

システムが提供しているサービス

サイトの種類　（ECサイト、予約サイト、情報ポータルサイト、ゲームサイト、など）
サイトの主な機能（会員管理機能、通販のカート機能、情報検索機能、など）
主なユーザ（個人ユーザ、企業ユーザ、PCユーザ、スマホユーザ、など）

制約条件

動作要件（ブラウザにてアクセス、専用アプリにてアクセス、など）
ブラウザ動作要件（サービス仕様として、バージョン X 以上の IE 対応、フィーチャーフォン対応をうたっている、など）

分析レポート　イメージ

脆弱性解消の代行

診断・分析結果に基づき、弊社技術者がお客様に代わってシステムの脆弱性の解消を実施いたします。

対応内容

サーバー
- OS kernel、ライブラリのアップデート
- OS kernelパラメータ設定調整
- ミドルウエアのアップデート
- 脆弱性を回避するためのミドルウエアの設定調整
ネットワーク機器
- ネットワーク機器のファームウエアアップデート
- 脆弱性を回避するためのネットワーク機器設定調整

※ お客様独自アプリケーション（開発ベンダにより作成されたものを含む）の修正対応は、ご提供外となります。

対応方法・ご利用条件

対応作業は、リモートから実施します。
対象サーバーやネットワーク機器へのログイン権限(管理者権限含む)を提供いただきます。
有償OS(RedHat Enterprise Linux等)の場合は、アップデートパッケージを入手できるベンダーとのサポート契約をお客様にて締結いただいていることが条件となります。
本番環境に対して対応を行う前にステージング環境に対して対応・確認を行う場合は、お客様にてステージング環境を準備いただくものとします。

料金

メニュー	内容	費目	単位	料金（税抜）	料金備考
脆弱性診断	Webアプリケーション診断診断結果レポート（英語）	初期	アセット	96,000円/アセット	2アセット目以降、24,000円/アセットをいただきます。
	Webアプリケーション診断診断結果レポート（英語）	年間ライセンス	65セットまで	828,000円	65アセットまで定額となります。
	PCI-ASVレビュー	スポット	レポート1本/回	お問い合わせ下さい	スキャンレポートのASVレビュー
脆弱性分析	脆弱性分析・分析レポート（日本語）	スポット	1アセット/1回	198,000円	分析のためのログイン調査が不要な場合。ログイン調査が必要な場合は、別途費用をいただきます。
脆弱性分析	報告会（東京23区内）	スポット	1回	65,000円/回	東京23区外をご希望の場合は、ご連絡ください。
脆弱性対応	脆弱性解消の代行	スポット	1アセット/1回	264,000円～/1アセット・1回	検出された脆弱性の数で費用が変動します。

・「アセット」とは、診断対象のIPアドレスやURL などを指します。
・脆弱性診断の実行を当社が代行する場合、最大週1回の実行となります。お客様ご自身で実行される場合は、回数の制限はございません。
・脆弱性診断のご利用にあたっては、TENABLE MASTER AGREEMENT(https://static.tenable.com/prod_docs/tenable_slas.html)へ同意いただく必要がございます。
・脆弱性対応は、お客様独自のアプリケーション（開発ベンダにより作成されたもの含む）はご提供外となります。
・脆弱性対応は、無償OSのパッケージ配付元のサポート期間内であること、有償OSの場合はOSベンダーとのサポート契約をお客様にて締結いただいていることを前提といたします。
・本番環境での脆弱性対応前に、検証環境での対応・確認をご要望の場合は、お客様にて検証環境をご用意いただくものとします。

よくあるご質問

[診断]「アセット」とは何ですか？: 「アセット」とは、セキュリティ診断対象のIPアドレスやURL などを指します。
[診断] サブドメインは別アセットになりますか？: はい。サブドメインは別アセットになります。
[診断] 診断方法を教えてください。: プラットフォーム診断（サーバーOS・ミドルウェア・ネットワーク）は、Tenable Network Security 社の脆弱性診断ツール tenable.io™ Vulnerability Management を利用して自動診断を行います。インターネットからの外部診断、監視対象にエージェントをインストールしての内部診断が可能です。
[診断] 診断のタイミングを教えてください。: お客様ご自身で診断を実行される場合は、任意のタイミングで実施いただけます。診断スケジュールの設定も可能です。任意のタイミングでの診断実行を弊社が代行する場合は、最大週1回までとなります。
[診断] 診断中のサーバーへの負荷はどのくらいでしょうか？: 診断項目は各項目を順番に実行し、一度に大量のアクセスを実行しませんので、お客様サーバーの稼働に影響はありません。
[診断] WEBサーバー診断時のサイトの階層・ページ数に制限はありますか？: トップページから 6階層まで、最大 1,000ページまで、となります。この上限を超える場合は、別アセットとしてカウントされます。
[診断] 診断項目に “DoS 脆弱性診断” がありますが、実際の DoS 攻撃をするのですか？診断でサーバがダウンするのは困るのですが。: DoS脆弱性は、OSやミドルウエアのバージョンや応答内容など、関連する診断結果を元に判定します。実際の攻撃は行いません。
[診断＆分析] 診断結果レポートと、分析レポートの違いはなんですか？: 「診断結果レポート（英語）」は、自動診断ツールが提示する一般的な脆弱性と対策をまとめたものです。「分析レポート（日本語）」は、お客様システムへの実影響度を分析の上、具体的な対策方法をまとめたものとなります。
[分析] 分析してもらうために、用意が必要な情報はありますか？: お客様システム情報(システム構成資料など)を提示いただきます。提示いただく必要がある情報一覧については弊社からお知らせします。弊社にてシステム構成等の情報を調査させていただくこともできます(お問い合わせください)。
AWS等のクラウドサービスに対する脆弱性診断の事前申請について: 診断対象のWebアプリケーションが、クラウド事業者が提供するWebサーバー上で稼働している場合は、診断前に事前申請が必要な場合があります。
[診断] セキュリティ診断を1回だけ実施したいのですが、依頼できますか？: セキュリティ診断は、年間ライセンスのみでのご提供となります。1年間に実施いただく診断回数に制限はございません（お客様にて診断を実行される場合）。1回のみ実施される場合でも、ご請求金額は同じとなります。
[診断] SECURE-AID と、SECURE-AID EX の違いは何ですか？: どちらもプラットフォーム診断を行いますが、診断ツールが違います。
SECURE-AID EX は、FORTUNE500企業にも利用される診断ツール tenable.io™ Vulnerability Management を利用します。47,000以上のCVEカバレッジで、新しく発見された脆弱性も24時間以内に反映されます。セキュリティ監査対応の診断テンプレートのご用意があるほか、診断結果を、診断対象毎だけでなく、脆弱性の種類毎にグルーピングして一覧表示する管理ダッシュボードをご提供いたします。IT資産の脆弱性の管理を継続して行いたい場合に最適です。

一方、SECURE-AID は、オープンソースの診断ツール OpenVAS を利用します。CVEカバレッジは 26,000未満です。主要な脆弱性を手軽に（安価に）診断したい場合に最適です。