SECURE-AID 脆弱性診断・分析・脆弱性の解消をワンストップでご提供
Webシステムの脆弱性を狙ったサイバー攻撃は深刻化
悪意ある第三者によるWebシステムの脆弱性を狙ったサイバー攻撃は深刻化しており、不正改ざんや情報漏えいといった被害も多発しています。被害を事前に防ぐためには、定期的なセキュリティ診断と対策の実施が不可欠ですが、継続的な対策実施はシステム担当者の負担になっています。
OSやミドルウェアを最新状態にするだけでは防げないこと
- 暗号化強度の低いSSL接続を受け付ける設定 により、情報を盗み見られる可能性 が。
- Webサーバーの設定ミス で本来見えてはいけないファイルが見えていた。
- アプリケーションに SQLインジェクションの問題 があった!
- Webサーバーの設定ミス で特定のディレクトリ配下に任意のファイルを置ける 状態になっていた。
- phpの設定ミス で、システムの情報が参照し放題 になっていた。
それに基づく「対策実施」も必要です。
- ・システムは、コンテンツの更新、利用ソフトウエアのアップデートなどで、次々と変化します。
- ・セキュリティ対策はワンショットではなく、継続的に運用として実施していくことが重要です。
脆弱性診断導入時のよくあるお悩み
- 脆弱性診断は、価格が高い
- 診断結果の、自社システムへの影響度合いがわからない
- 脆弱性対策によりユーザサービスに影響が出る。何か次善の策はないか?
- 脆弱性の解消までを依頼できる委託先がない
お客様システム固有の事情に合せたセキュリティ対策を、
手軽に実施いただけます。
ご提供内容
脆弱性診断
OS・ミドルウェア・ネットワークの脆弱性を「OpenVAS(Open Vulnerability Assessment System)」を利用し、自動診断を行います。
診断項目
- Linux OS kernel 診断
- Windows OS kernel 診断
- FreeBSD OS kernel 診断
- HP-UX OS kernel 診断
- Solaris OS kernel 診断
- AIX OS kernel 診断
- ネットワーク機器 OS ファームウエア診断
- DoS 脆弱性診断
- バックドア有無診断
- DNS 脆弱性診断
- FTPサーバー脆弱性診断
- メールサーバー脆弱性診断
- Webサーバー脆弱性診断
- CMSソフトウエア診断(WordPress, Joomla!などのバージョン情報に基づく診断)
※自動診断ツールが提供する診断手法を用い、プラットフォーム(OS・ミドルウェア・ネットワーク)の脆弱性パターンを診断します。
診断結果レポート イメージ
脆弱性診断ツールが出力する、診断結果レポート(英語)をご提示します。
診断オプション(WordPressの脆弱性診断)
WordPress に特化した脆弱性診断ツール「WPScan」を利用して、WordPress の脆弱性診断を行います。
WPScanは、Sucuri 社が開発をリードする、WordPressに特化した脆弱性診断ツールです。
WPscanは、一般的なWebアプリケーション診断ツールでは検出できないテーマやプラグインの脆弱性等を検知することができます。
本サービスではWPScanの定期実行により新たな脆弱性をいち早く検出することができます。
脆弱性診断結果の分析
脆弱性診断結果とお客様システム固有の情報を合わせ、技術者がお客様システムに特化した重要度と対応策を提示します。
脆弱性対応の優先度、ユーザへのサービス提供への影響の有無、影響がある場合の次善策などを、ご判断いただけます。
分析に利用する、お客様のシステム情報(例)
システム構成
- ネットワーク構成、IPアドレス情報
- パケットフィルタリング設定
- OSの種類とバージョン (RedHat Linux, Ubuntu Linux, Windows Server など)
- インストールされているミドルウェアとそのバージョン(apache, nginx, IIS, MySQL, PostgreSQL, MSSQL, perl, php など)
- 起動しているデーモン (httpd, sshd, ftpd など)
- ディレクトリ構成とパーミッション
- システム(OS)ユーザの登録状況
システムが提供しているサービス
- サイトの種類 (ECサイト、予約サイト、情報ポータルサイト、ゲームサイト、など)
- サイトの主な機能(会員管理機能、通販のカート機能、情報検索機能、など)
- 主なユーザ(個人ユーザ、企業ユーザ、PCユーザ、スマホユーザ、など)
制約条件
- 動作要件(ブラウザにてアクセス、専用アプリにてアクセス、など)
- ブラウザ動作要件(サービス仕様として、バージョン X 以上の IE 対応、フィーチャーフォン対応をうたっている、など)
分析レポート イメージ
脆弱性解消の代行
診断・分析結果に基づき、弊社技術者がお客様に代わってシステムの脆弱性の解消を実施いたします。
対応内容
サーバー
- OS kernel、ライブラリのアップデート
- OS kernelパラメータ設定調整
- ミドルウエアのアップデート
- 脆弱性を回避するためのミドルウエアの設定調整
ネットワーク機器
- ネットワーク機器のファームウエアアップデート
- 脆弱性を回避するためのネットワーク機器設定調整
※ お客様独自アプリケーション(開発ベンダにより作成されたものを含む)の修正対応は、ご提供外となります。
対応方法・ご利用条件
- 対応作業は、リモートから実施します。
- 対象サーバーやネットワーク機器へのログイン権限(管理者権限含む)を提供いただきます。
- 有償OS(RedHat Enterprise Linux等)の場合は、アップデートパッケージを入手できるベンダーとのサポート契約をお客様にて締結いただいていることが条件となります。
- 本番環境に対して対応を行う前にステージング環境に対して対応・確認を行う場合は、お客様にてステージング環境を準備いただくものとします。
料金
メニュー | 内容 | 単位 | 年間契約 | SPOT契約 | |
---|---|---|---|---|---|
初期 | 月額 | ||||
脆弱性診断 | OpenVAS によるプラットフォームの脆弱性自動診断・脆弱性結果レポート(英語)。(*1) | 1FQDN | 24,000円 | 1,000円 | - |
脆弱性分析 | OpenVASによる脆弱性診断結果とお客様システム情報とをもとに、お客様システムへの実影響度を分析したレポート(日本語) | 1回 | - | - | (*2)198,000円 |
年12回まで | - | (*2)40,700円 | - | ||
脆弱性 診断・分析パック |
診断ツール(OpenVAS)による自動診断結果と、お客様システム情報をもとにした分析をパッケージ。 | 1FQDN 1回 |
- | - | (*2)223,000円 |
脆弱性分析 報告会 | 脆弱性分析結果の報告会(東京23区内)(*3) | 1FQDN 1回 |
- | - | 65,000円 |
脆弱性対応 | 脆弱性分析結果に基づき、対象システムの脆弱性解消のための対応を実施 (*4) | 1回 | - | - | 264,000円~ |
脆弱性診断 オプション |
WPScanによるWordPressの脆弱性自動診断・診断結果レポート(英語)。(*1) | 1FQDN | 6,300円 | 12,600円 | - |
(*1) 「脆弱性診断」の、最低ご利用期間は1年間となります。
(*2) 分析のためのログイン調査が不要な場合。より深い分析のためのログイン調査をご要望の場合は、別途費用をいただきます。詳細はお問い合わせください。また、脆弱性分析レポートは、メールにてお送りいたします。
(*3) 「脆弱性分析 報告会」は、「脆弱性分析」または「脆弱性診断・分析パック」をご契約いただいているお客様にご利用いただけます。23区外での開催をご希望の場合はお問い合わせください。
(*4) お客様独自アプリケーション(開発ベンダにより作成されたものを含む)の修正対応は、ご提供外となります。
(*4) 無償OSのパッケージ配布元のサポート期間内であること、有償OSの場合はOSベンダーとのサポート契約をお客様にて締結いただいていることを前提といたします。
(*4) 本番環境での対応前に、ステージング環境での対応・確認をご要望の場合は、お客様にてステージング環境をご用意いただくものとします。
よくあるご質問
- [診断]サブドメインは別アドレスになりますか?
はい、サブドメインは別アドレスとなります。
- [診断] 診断方法を教えてください。
プラットフォーム診断(サーバーOS・ミドルウェア・ネットワーク)は、オープンソースの脆弱性診断ツール OpenVAS を利用して自動診断を行います。手動診断をご希望の場合は SECURE-AID Advanced をご参照ください。
- [診断] 診断のタイミングを教えてください。
定期診断は、最大週1回まで実行できます。加えて、任意のタイミングでの診断も月1回まで可能です。診断開始日とだいたいの開始時間をご指定いただけます。(例:「毎週何曜日何時頃」というご指定)
- [診断] 診断中のサーバーへの負荷はどのくらいでしょうか?
診断項目は各項目を順番に実行し、一度に大量のアクセスを実行しませんので、お客様サーバーの稼働に影響はありません。
- [診断] WEBサーバー診断時のサイトの階層・ページ数に制限はありますか?
同一FQDN内で、診断ツールによってあらかじめ固定的に対象として定義されているページおよび、トップページからリンクをたどることができるページすべてが、診断対象となります。
- [診断] WEBサーバー診断で診断ができないページはありますか?
HTTP の GET と POST による通信を行っている場合は可能ですが、JavaScript 等のプログラムで画面を生成しているページは診断不可となります。
- [診断] 診断項目に “DoS脆弱性診断” がありますが、実際の DoS 攻撃をするのですか? 診断でサーバがダウンするのは困るのですが。
DoS脆弱性は、OSやミドルウエアのバージョンや応答内容など、関連する診断結果を元に判定します。実際の攻撃は行いません。
- [診断&分析] 診断結果レポートと、分析レポートの違いはなんですか?
「診断結果レポート(英語)」は、自動診断ツールが提示する一般的な脆弱性と対策をまとめたものです。「分析レポート(日本語)」は、お客様システムへの実影響度を分析の上、具体的な対策方法をまとめたものとなります。
- [分析] 分析してもらうために、用意が必要な情報はありますか?
お客様システム情報(システム構成資料など)を提示いただきます。提示いただく必要がある情報一覧については弊社からお知らせします。弊社にてシステム構成等の情報を調査させていただくこともできます(お問い合わせください)。
- クラウドサービスに対する脆弱性診断の事前申請について
診断対象のWebアプリケーションが、クラウド事業者が提供するWebサーバー上で稼働している場合は、診断前に事前申請が必要な場合があります。
- [診断] SECURE-AID と、SECURE-AID EX の違いは何ですか?
どちらもプラットフォーム診断を行いますが、利用する診断ツールが異なります。SECURE-AID EX は、tenable.io™ Vulnerability Management を利用し、外部診断・内部診断を行います。PCIコンプライアンス要件に準拠した脆弱性診断が可能で、脆弱性情報の管理機能もご提供いたします。SECURE-AID はオープンソースの診断ツール OpenVAS を利用することで、安価に診断いただけます。サービス比較表も併せてご参照ください。
- SECURE-AID と AeyeScan、SECURE-AID Advanced との違いは何ですか?
AeyeScan は Webアプリケーションの自動診断、SECURE-AID Advanced は、セキュリティエンジニアによる、プラットフォーム、Webアプリケーション、IoT 機器の手動診断となります。サービス比較表も併せてご参照ください。
セキュリティ監査にも対応。プラットフォームの脆弱性を外部・内部診断、脆弱性解消の代行
Tenable Network Security社の脆弱性診断ツール tenable.io™ を利用した脆弱性診断と、当社エンジニアによる診断結果分析と脆弱性の解消代行をご提供いたします。詳しくは、SECURE-AID EX をご参照ください。
Webアプリケーションの脆弱性を自動診断
Webアプリケーションの脆弱性をツールで自動診断。詳細な対処方法を記載したレポートをご提供いたします。
詳しくは、AeyeScan をご参照ください。
スマホ、Webアプリ、IoT機器の脆弱性診断も可能です
ホワイトハッカーが手動診断で、スマホアプリ、Webアプリ、IoT機器の脆弱性を診断し、分析レポートをご提示いたします。
詳しくは、SECURE-AID Advanced をご参照ください。
他、サービスへのご質問は、お問合せフォームよりお気軽にお問い合わせください。
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。