セキュリティ診断サービスの概要
当社で行ったセキュリティー診断ではWebサイトの86%に脆弱性が見つかっています。「セキュリティー診断サービス」は、NTTグループのシステム開発・構築ノウハウに基づき、お客様システムの脆弱性を見える化し、セキュリティーリスクの低減に向けた対策を支援します。
OSやミドルウェアの既知の脆弱性を診断する「プラットフォーム診断」とWebアプリケーション固有の脆弱性を診断する「Webアプリケーション診断」でシステムを総合的に診断します。
特長
手動もしくはツールにて疑似攻撃を実施することで、システムの脆弱性を調査し、セキュリティーホールの箇所・内容、リスクレベルなど対処すべき問題を見える化します。
NTTグループのシステム開発・構築にて培ったノウハウに基づき、診断にて浮き彫りになった問題点から、具体的なセキュリティー対策をレポートにて提示します。
ご予算、ご要望に合わせて、診断方法を複数選択できます。
機能
サービス仕様・機能
| プラットフォーム診断 | Webアプリケーション診断 | ||
| Basic | Advanced | ||
| 診断対象 | サーバー/ネットワーク機器 | ||
| 診断場所 | オンサイトまたはリモート | ||
| 診断方法 | ツール&手動 | ツール | ツール&手動 |
| 診断内容 | ・オープンポート調査 ・サービス/OSの情報取得 ・ログイン試行 ・既知の脆弱性検査 (バッファオーバーフロー、DoS、システム情報漏えい等) |
・既知の脆弱性検査 (SQLインジェクション、 クロスサイトスクリプティング等) | ・既知の脆弱性検査 (SQLインジェクション、クロスサイトスクリプティング等) ・セッション管理の不備 ・重要情報の不適切な扱い |
| 診断レポート | 脆弱性診断結果、対策案 | ||
| 診断報告会 | オプション | ||
Webアプリケーション診断
ショッピングサイトや会員制サイト等、Webサイトのビジネスの活用が進むにつれ、様々なWebアプリケーションが自社開発され、稼働しています。
ただし、自社開発したWebアプリケーションにはセキュリティーホールが潜んでいる場合があり、悪意ある第三者の攻撃によって、サービス停止や個人情報の窃取等の被害を被る可能性があります。
Webアプリケーション診断では、経験豊富なセキュリティーの専門家がお客様のWebサイトのWebアプリケーションの脆弱性(SQLインジェクション脆弱性、クロスサイトスクリプティング脆弱性等)を診断し、最適なセキュリティー対策の実現を支援します。
| 診断項目 | 診断の概要 |
| SQLインジェクション | 入力フォームに特別な意味を持つSQL文を挿入し、エラーメッセージの内容、レスポンスの内容を元にデータベースの不正操作・参照の可能性を調査します。 |
| コマンドインジェクション | 入力フォームに特別な意味を持つ文字列を挿入し、サーバー上で意図しないOSコマンドの実行が可能か調査します。 |
| hiddenタグ不正操作 | hiddenフィールドに設定されている価格、金額、数量などの情報を改ざんし、アプリケーションで意図しない挙動が発生しないか調査します。 |
| ヘッダリクエスト不正操作 | URL引数などHTTPリクエストのパラメータを不正に編集し、アプリケーションで意図しない挙動が発生しないか調査します。 |
| クロスサイトスクリプティング | 入力フォームに特別な意味を持つ文字列を入力し、レスポンスの内容をもとに悪意あるスクリプトの実行が可能か調査します。 |
| パスワード管理 | パスワードなど重要情報送信の際の暗号化有無、推測しやすいパスワードが使用されていないか調査します。 |
プラットフォーム診断
インターネット上に公開されたサーバーに対して、設定ミスやパッチの未適応などの脆弱性をついた無差別的な攻撃が行われています。また、インターネットに公開されていない組織内部のサーバーに対しても、組織内のPCがコンピュータウイルスにより侵されて攻撃を受けたり、悪意のある従業員によって組織内部から攻撃を受ける可能性があります。
プラットフォーム診断では、経験豊富なセキュリティー専門家が、複数のセキュリティー検査ツールを使用するとともに手動による検査を組み合わせ、OSやミドルウェアの既知の脆弱性、設定の不備などによるセキュリティーホールの有無を診断し、最適化します。
| 診断項目 | 診断の概要 |
| CGIスクリプト | セキュリティー脆弱性を持つCGIスクリプトが存在するか調査します。 |
| DNSサービス | Domain Name Serviceプロトコルに関する脆弱性を調査します。 |
| DoS | ICMPフラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフラインにするなどといったサービス妨害攻撃に対する脆弱性を調査します。 |
| データベース | Oracle、MySQL、MSSQLなど、データベースアプリケーションに存在する脆弱性を調査します。 |
| FTPサーバー | ファイル転送サービスに関する脆弱性を調査します。 |
| IPアドレスサービス | CHARGEN、ECHOといったシンプルIPアドレスサービスの脆弱性を調査します。 |
| メールサーバー | SMTP、IMAP、POP2、POP3やその他、インターネットメールサーバーのセキュリティー脆弱性を調査します。 |
| NETBIOS | NETBIOSプロトコルの脆弱性を調査します。また、リモートのWindowsファイル共有のパーミッション問題を調査します。 |
| リモートアクセス | リモートアクセスエージェントの脆弱性を調査します。 |
| RPCサービス | Remote Procedure Call(RPC)サービスの脆弱性を調査します。 |
| SSHサーバー | Secure Shellサーバーの脆弱性を調査します。 |
| Webサーバー | Webサービスにおける脆弱性を調査します。 |
| Windows | Windowsシステムによって稼働するオープンポートを調査します。 |
| バックドア | バックドアプログラムによって稼働するオープンポートを調査します。 |
| ピアツーピア | P2Pプログラムの稼働を調査します。 |
| スパイウェア | スパイウェアプログラムの稼働を調査します。 |
利用イメージ
情報システムの工程ごとに、セキュリティーリスクを見える化し、対策を実施!
情報システムのライフサイクルである開発/試験・リリース/運用の各工程において、システムに潜む脆弱性を見える化し、セキュリティー対策を立案します
料金・ご利用までの流れ
料金
「セキュリティー診断サービス」の料金については、お気軽にお問い合わせください。
よくあるご質問
特長関連
導入関連
仕様関連
お問い合わせ
パンフレットをみる
ダウンロードこの商品のお問い合わせ
資料請求・お問い合わせ※製品およびサービスの内容は、予告なく変更する場合がありますので、あらかじめご了承ください。
※「SmartCloud(スマートクラウド)」は、NTTドコモソリューションズ株式会社の登録商標です。
※Windows、IISは米国Microsoft Corporationの米国およびその他の国における登録商標です。
※Apacheは、Apache Software Foundationの登録商標または商標です。
※UNIXは、X/Open Company Limitedが独占的にライセンスしている米国ならびに他の国における登録商標です。
※その他、記載されている会社名、製品名などは、各社の商標または登録商標です。