セキュリティ診断サービス

セキュリティ診断サービス 概要

増大するセキュリティ侵害・情報漏洩。近年は、Webアプリケーションのセキュリティホールを利用した攻撃が多発しています。Webアプリケーションが攻撃されやすい理由として、市販ツールでの脆弱性発見が難しいこと、プログラム開発者のスキル不足により、セキュリティホールが生まれやすいことなどが挙げられます。。

日立システムのセキュリティ診断は、ツールだけに頼らず、キーオペレーションを併用していることが特長です。高度なセキュリティ／ハッキング知識を有する弊社セキュリティ技術者が、様々な手法やツールを駆使し、お客様が管理されているネットワーク上の機器およびサーバに対し擬似攻撃を試行することで、精度の高い診断を実施いたします。
診断の結果発見されたセキュリティホールについては、その内容と対策方法を、「セキュリティ診断報告書」に分かりやすくまとめてご提示いたしますので、お客様は、セキュリティ上の問題点を客観的に把握した上で、効果的なセキュリティ対策を行うことが可能です。

• セキュリティ診断サービス ページの先頭へ

セキュリティ診断サービス 詳細

インターネット経由(リモート)、あるいは、お客様先（オンサイト）にて、さまざまな方法でセキュリティホールがないか診断します。

お客様のシステムを構成するサーバやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールが存在しないかどうかをネットワーク経由にて診断します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
ネットワーク型診断では、診断対象となるIPアドレス単位に、診断場所（リモート/オンサイト）と、以下の診断レベルをご選択いただけます。

診断レベル	サービス内容
エクスプレス	存在確認、ポートスキャン、および商用の脆弱性検査ツールを使用した診断を実施する。TCP/UDPポートスキャンは良く知られたポート（1〜1024）のみ実施。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。
スタンダード	「エクスプレス」の内容を含み、以下を実施。 TCP/UDPポートスキャンをフルポート（1〜65535）まで拡張して実施。 脆弱性検査ツールで検出された脆弱点に対し、誤検出かどうかをセキュリティに精通した診断作業者によるマニュアル(手動）診断で再確認。 再確認結果を弊社見解として「セキュリティ診断報告書」に追記。
プロフェッショナル	「スタンダード」の内容を含み、以下を実施。 ポートスキャンで発見したポート（＝公開されているサービス）に対して、セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。セキュリティホールの有無をキーオペレーションにて確認する。 マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。

※お客様先でのオンサイト報告会は、オプションとなります。

お客様にて作成されたWebコンテンツに対し、SQLインジェクションやクロスサイトスクリプティングなどに代表されるWebアプリケーション特有のセキュリティホールがないかどうかをネットワーク経由にて診断します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
Webアプリケーション診断では、診断対象となる業務アプリケーション（Webサイト）単位に、診断場所（リモート/オンサイト）と、診断レベル(以下)をご選択いただけます。

診断レベル	サービス内容
スタンダード	Webアプリケーションの入力域や隠しフィールドに対してWebサーバ特有のセキュリティホールがないかどうかを、商用のWebアプリケーション検査ツールを使用し、ネットワーク経由にて簡易的に診断する。診断の結果発見された脆弱性の内容や対策案を含む「セキュリティ診断報告書」を作成。
プロフェッショナル	「スタンダード」の内容を含み、以下を実施。 セキュリティに精通した診断作業者が、マニュアル(手動）診断を実施。お客様アプリケーション固有の画面遷移、パラメータ名などからの機能の類推など、ツールだけでは判断できないセキュリティホールの有無をキーオペレーションにて確認する。 マニュアル(手動）診断の結果発見された脆弱性を、再現手順を含めて「セキュリティ診断報告書」に追記。 お客様先で、「セキュリティ診断報告書」をもととしたオンサイト報告会を実施。

※お客様先でのオンサイト報告会は、「スタンダード」の場合、オプションとなります。
※SQLインジェクションのみの確認など、診断項目のアレンジも可能ですので、お気軽にお申し付けください。

お客様先（オンサイト）にて、対象となるホスト（サーバ）に実際にログインさせていただき、OSやミドルウェアのセキュリティ設定やユーザ/パスワード管理、パッチ適用が適切か実施されているかをどうかを確認します。診断結果は、セキュリティ診断報告書にまとめ、提出いたします。
具体的には、対象となるホスト上に、設定情報収集ツールをコピーさせていただき、ツールを実行することで作成される結果ファイルを弊社にて解析します。

セキュリティ診断イメージ

• セキュリティ診断サービス ページの先頭へ

セキュリティ診断サービス 診断内容

以下は標準的な診断内容です。診断項目のアレンジなど、カスタマイズも可能ですのでお気軽にご相談ください。

診断レベル	サービス内容
エクスプレス	脆弱性診断ツールによる脆弱性診断 TCP/UDP下位ポートスキャン(1〜1024番)によるポートの公開状態確認
スタンダード	脆弱性診断ツールによる脆弱性診断 使用OS・バージョンの特定と脆弱性確認 使用アプリケーション・バージョンの特定と脆弱性確認 上位ポートを含めたTCP/UDP全ポートスキャン(1〜65535番)によるポートの公開状態確認
プロフェッショナル	「スタンダード」の内容 ポートスキャンにて発見されたポートにて稼働しているサービスの確認および手動での脆弱性調査 (例) ・DNS脆弱性調査（ゾーン転送、再帰呼出しによるキャッシュ汚染） ・メールサーバ脆弱性調査（不正中継・メールアカウント搾取） ・SNMPによるサーバ情報取得 ・その他使用サービスの脆弱性確認

診断レベル	サービス内容
スタンダード	SQLインジェクション診断 OSコマンドインジェクション診断 パラメータ改ざん診断 クロスサイトスクリプティング診断 クッキーのセキュリティ属性設定診断 不要なエラーコード診断 バッファオーバーフロー診断 セッションフィクセーション診断 クロスサイト・リクエスト・フォージェリ診断
プロフェッショナル	「スタンダード」の内容 デフォルトインストール状態で存在する脆弱なファイルの確認 隠しURLの検索 不要HTTPコマンドの実装 顧客情報データ取得の試行 管理者権限取得の試行 ブルートフォース、脆弱性を利用した認証突破の試行 その他ツールでの判断が難しい、パラメータの機能類推や独特の画面遷移などを意識した、手動診断による脆弱点の確認

診断レベル

セキュリティパッチの適用状態に関する診断 パスワード設定に関する診断 アカウント設定に関する診断 ログイン設定に関する診断 ネットワーク設定に関する診断 システム監査設定に関する診断 スタートアップ設定(稼働サービス)に関する診断 ユーザファイル設定(アクセス権限など)に関する診断

• セキュリティ診断サービス ページの先頭へ

セキュリティ診断サービス 価格（税込）

ネットワーク型診断、ホスト型診断は、1 IPアドレスから診断可能です。またWebアプリケーション診断は1画面から診断可能です。価格は個別見積となります。

価格例

ネットワーク型診断 （診断対象10IP・リモート）	エクスプレス	313,740円〜　(税抜 298,000円〜)
	スタンダード	375,480円〜　(税抜 357,600円〜)
	プロフェッショナル	478,800円〜　(税抜 456,000円〜)
Webアプリケーション診断 (動的画面数50・リモート)	スタンダード	756,000円〜　(税抜 720,000円〜)
	プロフェッショナル	1,176,000円〜　(税抜 1,120,000円〜)
ホスト型診断 （診断対象10ホスト）	-	546,000円〜　(税抜 520,000円〜)

※上記価格は、2010年7月現在のものです。

製品の詳細は、下記までお問い合わせください。

• セキュリティ診断サービス ページの先頭へ