お問い合わせ

SmartCloud  セキュリティー診断サービスのイメージ

セキュリティ診断サービスの概要

当社で行ったセキュリティー診断ではWebサイトの86%に脆弱性が見つかっています。「セキュリティー診断サービス」は、NTTグループのシステム開発・構築ノウハウに基づき、お客様システムの脆弱性を見える化し、セキュリティーリスクの低減に向けた対策を支援します。
OSやミドルウェアの既知の脆弱性を診断する「プラットフォーム診断」とWebアプリケーション固有の脆弱性を診断する「Webアプリケーション診断」でシステムを総合的に診断します。

index_im_01.jpg

放置された
セキュリティーホール、
脆弱性が見える

手動もしくはツールにて疑似攻撃を実施することで、システムの脆弱性を調査し、セキュリティーホールの箇所・内容、リスクレベルなど対処すべき問題を見える化します。

>  詳しく見る

やるべき
セキュリティー対策が
わかる

NTTグループのシステム開発・構築にて培ったノウハウに基づき、診断にて浮き彫りになった問題点から、具体的なセキュリティー対策をレポートにて提示します。

>  詳しく見る

予算に合わせて
診断方法が
選べる

ご予算、ご要望に合わせて、診断方法を複数選択できます。
 
 

>  詳しく見る

特長

放置されたセキュリティーホール、脆弱性が見える

手動もしくはツールにて疑似攻撃を実施することで、システムの脆弱性を調査し、セキュリティーホールの箇所・内容、リスクレベルなど対処すべき問題を見える化します。

やるべきセキュリティー対策がわかる

NTTグループのシステム開発・構築にて培ったノウハウに基づき、診断にて浮き彫りになった問題点から、具体的なセキュリティー対策をレポートにて提示します。

index_im_02.jpg

予算に合わせて診断方法が選べる

ご予算、ご要望に合わせて、診断方法を複数選択できます。

index_im_03.jpg

機能

サービス仕様・機能

プラットフォーム診断 Webアプリケーション診断
Basic Advanced
診断対象 サーバー/ネットワーク機器
診断場所 オンサイトまたはリモート
診断方法 ツール&手動 ツール ツール&手動
診断内容 ・オープンポート調査
・サービス/OSの情報取得
・ログイン試行
・既知の脆弱性検査 (バッファオーバーフロー、DoS、システム情報漏えい等)
・既知の脆弱性検査 (SQLインジェクション、 クロスサイトスクリプティング等) ・既知の脆弱性検査 (SQLインジェクション、クロスサイトスクリプティング等)
・セッション管理の不備
・重要情報の不適切な扱い
診断レポート 脆弱性診断結果、対策案
診断報告会 オプション

Webアプリケーション診断

ショッピングサイトや会員制サイト等、Webサイトのビジネスの活用が進むにつれ、様々なWebアプリケーションが自社開発され、稼働しています。
ただし、自社開発したWebアプリケーションにはセキュリティーホールが潜んでいる場合があり、悪意ある第三者の攻撃によって、サービス停止や個人情報の窃取等の被害を被る可能性があります。
Webアプリケーション診断では、経験豊富なセキュリティーの専門家がお客様のWebサイトのWebアプリケーションの脆弱性(SQLインジェクション脆弱性、クロスサイトスクリプティング脆弱性等)を診断し、最適なセキュリティー対策の実現を支援します。

代表的な診断項目

診断項目 診断の概要
SQLインジェクション 入力フォームに特別な意味を持つSQL文を挿入し、エラーメッセージの内容、レスポンスの内容を元にデータベースの不正操作・参照の可能性を調査します。
コマンドインジェクション 入力フォームに特別な意味を持つ文字列を挿入し、サーバー上で意図しないOSコマンドの実行が可能か調査します。
hiddenタグ不正操作 hiddenフィールドに設定されている価格、金額、数量などの情報を改ざんし、アプリケーションで意図しない挙動が発生しないか調査します。
ヘッダリクエスト不正操作 URL引数などHTTPリクエストのパラメータを不正に編集し、アプリケーションで意図しない挙動が発生しないか調査します。
クロスサイトスクリプティング 入力フォームに特別な意味を持つ文字列を入力し、レスポンスの内容をもとに悪意あるスクリプトの実行が可能か調査します。
パスワード管理 パスワードなど重要情報送信の際の暗号化有無、推測しやすいパスワードが使用されていないか調査します。

プラットフォーム診断

インターネット上に公開されたサーバーに対して、設定ミスやパッチの未適応などの脆弱性をついた無差別的な攻撃が行われています。また、インターネットに公開されていない組織内部のサーバーに対しても、組織内のPCがコンピュータウイルスにより侵されて攻撃を受けたり、悪意のある従業員によって組織内部から攻撃を受ける可能性があります。
プラットフォーム診断では、経験豊富なセキュリティー専門家が、複数のセキュリティー検査ツールを使用するとともに手動による検査を組み合わせ、OSやミドルウェアの既知の脆弱性、設定の不備などによるセキュリティーホールの有無を診断し、最適化します。

代表的な診断項目

診断項目 診断の概要
CGIスクリプト セキュリティー脆弱性を持つCGIスクリプトが存在するか調査します。
DNSサービス Domain Name Serviceプロトコルに関する脆弱性を調査します。
DoS ICMPフラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフラインにするなどといったサービス妨害攻撃に対する脆弱性を調査します。
データベース Oracle、MySQL、MSSQLなど、データベースアプリケーションに存在する脆弱性を調査します。
FTPサーバー ファイル転送サービスに関する脆弱性を調査します。
IPアドレスサービス CHARGEN、ECHOといったシンプルIPアドレスサービスの脆弱性を調査します。
メールサーバー SMTP、IMAP、POP2、POP3やその他、インターネットメールサーバーのセキュリティー脆弱性を調査します。
NETBIOS NETBIOSプロトコルの脆弱性を調査します。また、リモートのWindowsファイル共有のパーミッション問題を調査します。
リモートアクセス リモートアクセスエージェントの脆弱性を調査します。
RPCサービス Remote Procedure Call(RPC)サービスの脆弱性を調査します。
SSHサーバー Secure Shellサーバーの脆弱性を調査します。
Webサーバー Webサービスにおける脆弱性を調査します。
Windows Windowsシステムによって稼働するオープンポートを調査します。
バックドア バックドアプログラムによって稼働するオープンポートを調査します。
ピアツーピア P2Pプログラムの稼働を調査します。
スパイウェア スパイウェアプログラムの稼働を調査します。

利用イメージ

情報システムの工程ごとに、セキュリティーリスクを見える化し、対策を実施!

情報システムのライフサイクルである開発/試験・リリース/運用の各工程において、システムに潜む脆弱性を見える化し、セキュリティー対策を立案します

case_im_01.jpg

料金・ご利用までの流れ

step1

お問い合わせ
当社Webサイトのお問い合わせフォームよりお問い合わせください。
折り返し、当社担当者より連絡させていただきます。
 

step2

ご要望確認
サービスの紹介およびお客様の利用目的などをお伺いさせていただきます。

step3

ご提案・お見積り
ご要望いただいた内容に基づき、最適なサービスの組み合わせをご提案させていただきます。

step4

お申し込み
ご導入が決定しましたら、詳細な要件について「ヒアリングシート」をご記入していただき、契約を締結させていただきます。

step5

サービス開始
環境が整い次第、サービス提供を開始させていただきます。

料金

「セキュリティー診断サービス」の料金については、お気軽にお問い合わせください。

>  お問い合わせ

よくあるご質問

特長関連

セキュリティー診断サービスの特長は何か?
NTTコムウェアには、NTTグループの基幹システムの開発・構築・運用の実績があります。 ミッションクリティカルなシステムにおけるセキュリティーノウハウを活かして、サービスを提供いたします。

導入関連

契約締結後、どの程度の期間で利用できるのか?
標準3週間程度です。
セキュリティー診断サービスは、どの程度の期間が必要なのか?
目安としてプラットフォーム診断 10IP/1日、Webアプリケーション診断 10画面/1日程度です。

仕様関連

オンサイト診断とリモート診断の違いは何か?
リモート診断はNTTコムウェアからインターネット経由で診断を実施します。オンサイト診断はインターネット経由で診断ができない対象ホストに対し、お客様オフィスにて診断を行います。
オンサイト診断の対応エリアはどこか?
首都圏となります。それ以外の場合はご相談ください。
ツール診断と手動診断の違いは何か?
プラットフォーム診断
ツール診断は、単一ツールで検査を実施します。手動診断は、複数のツールとセキュリティー・エンジニアによる確認を行い、ツール診断に比べ精度を高めた検査を行います。

Webアプリケーション診断
ツール診断は、単一ツールで検査を実施します。基本的な脆弱性を広範囲で検査が可能です。 手動診断は、アプリケーションのロジック、重要情報の取り扱い、セッションIDの脆弱性、複合的な脆弱性等セキュリティー・エンジニアが手作業で実施します。範囲は狭く時間がかかりますが、ツールのみと比べてより深い検査が可能です。 
診断実施回数は何回か?
1回です。複数回実施したい場合はご相談ください。
診断実施時に準備しておくことは?
プラットフォーム診断:
ネットワーク構成図
対象IPのリスト
診断端末に割り当てるIPアドレス(2個)、対象サーバーまでのアクセス確認

Webアプリケーション診断:
診断対象サーバーのURL/ドメイン
当日対応が可能な方のアサイン
診断端末に割り当てるIPアドレス(3個)、対象サーバーまでのアクセス確認
対象Webサイトの画面遷移図(対象画面遷移を明示したもの)
画面遷移マニュアルなど
Webサーバー、データベースの事前バックアップ

その他
検証環境、マシンタイムの確保等、商用に影響がない環境の準備
IDS/IPSなどが導入されている場合は診断によりアラームが発生するので関連部門への事前周知 
報告書は診断後、どの程度で作成できるのか?
標準1ヶ月です。
対策に関するサポートはいつまで実施できるのか?
レポート作成後1ヶ月ですが、サポート期間を延長したい場合はご相談ください。 

お問い合わせ

パンフレットをみる

ダウンロード

この商品のお問い合わせ

資料請求・お問い合わせ
 

※製品およびサービスの内容は、予告なく変更する場合がありますので、あらかじめご了承ください。
※「SmartCloud(スマートクラウド)」は、NTTコムウェア株式会社の登録商標です。
※Windows、IISは米国Microsoft Corporationの米国およびその他の国における登録商標です。
※Apacheは、Apache Software Foundationの登録商標または商標です。
※UNIXは、X/Open Company Limitedが独占的にライセンスしている米国ならびに他の国における登録商標です。
※その他、記載されている会社名、製品名などは、各社の商標または登録商標です。