プラットフォーム
脆弱性診断サービス
プラットフォーム脆弱性診断では、ネットワーク経由で診断対象サーバにアクセスし、サーバ上で動作しているネットワークサービスの確認とセキュリティホールの有無のチェックを行い、ネットワーク経由での攻撃に対するサーバのセキュリティ強度を確認いたします。
インターネット経由で診断を行うことで、ファイアウォールを含む公開セグメント全体のセキュリティ強度を評価できます。また、オンサイトで直接サーバにアクセスして診断することも可能で、これによりサーバ自体のセキュリティ強度を把握することができます。これらの方法により、異なる角度からセキュリティの確認を行うことができます。※
※ オンサイトでの診断の場合は、別途オンサイト費用が必要となります。
-
ツール診断&セキュリティ専門家による手動診断のハイブリッド診断
「ツール診断」と「手動診断」を組み合わせたハイブリッド診断により、診断ツールのみの表面的な診断サービスでは対応できない「広くて深い」診断を実現しています。
-
選べる診断環境
診断方法は、当社検査エリアよりインターネット経由で診断対象にアクセスする「リモート環境」と、お客様指定場所にお伺いして内部ネットワークから診断対象にアクセスする「オンサイト環境」のいずれかより選択が可能です。※
リモート環境とオンサイト環境で、実施する診断項目や診断結果に違いはありません。
※ オンサイトでの診断の場合は、別途オンサイト費用が必要となります。
診断項目一覧
プラットフォーム脆弱性診断サービスは、以下の診断項目の診断を行います。
診断項目 – 不正侵入系
| 項目名 | 内容 |
|---|---|
| 不正なログイン | ログイン権限を持たない、もしくは、正規のユーザでないユーザが不正にログイン出来ることが想定される脆弱性に関わる診断を行います。デフォルトアカウント(アプリケーションインストール時等に自動的に登録されるアカウント)の放置や、脆弱なパスワードを持つアカウント等、不適切なユーザ管理についての診断を含みます。 |
| リモートからのプログラム実行 | リモートから不正なプログラムを実行可能なことが想定される脆弱性に関わる診断を行います。 |
| 特権ユーザ権限の奪取 | 一般ユーザから正規の手順以外の方法で管理者権限やその他特別な権限を取得することが想定される脆弱性に関わる診断を行います。 |
| アクセス制御の不備 | 主にリモートからの診断において、ファイアウォールやルータ等によるアクセス制御設定が適切であるかどうか診断を行います。 |
| バックドアプログラムの存在 | バックドア(裏口)プログラムが動作していないか診断を行います。 |
診断項目 – サービス妨害系
| 項目名 | 内容 |
|---|---|
| サービス妨害・停止 | サービスを妨害もしくは停止される可能性のある脆弱性について診断を行います。なお、本項目での診断では実際に攻撃は行わず、主にサーバのバージョン情報等から脆弱性を推測して検出します。 |
| DDoSエージェントの存在 | DDoS (分散型サービス妨害攻撃)に使用されるエージェントプログラムが動作していないか診断を行います。 |
診断項目 – 情報漏えい系
| 項目名 | 内容 |
|---|---|
| リモートからのファイル取得 | リモートからファイルが取得可能な脆弱性について診断を行います。 主に NFS (Network File System)や FTP (File Transfer Protocol)、Windows のファイル共有等、リモートホスト間でファイルを送受信することが可能なサービスの設定不備によるファイル取得について検出を行います。 |
| 不要なサービスの動作 | ポートスキャンを行い、一般的に動作させておく必要が無いと思われるサービスが動作していないか診断を行います。 |
| サーバプログラムのバージョン取得 | ヘッダ情報等によるサービスプログラムのバージョンの取得について診断を行います。 |
| 設定不備によるシステム情報漏えい | OSやサーバプログラムの設定不備によるシステム・ユーザ情報漏えいの存在について診断を行います。 |
| 既知の脆弱性による情報漏えい | FTPサーバやWebサーバ等、サーバ自体に存在する既知の脆弱性による情報漏えいについて診断を行います。 |
サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください