- Home
- Webセキュリティ診断
- ソフテックの基本診断サービス
- プラットフォーム診断
プラットフォーム診断
診断の概要
ソフテックのプラットフォーム診断は、お客様専属コンサルタントが診断対象サーバに対してネットワーク経由でアクセスを行い、サーバ上で稼働しているネットワークサービスの確認と、それに関するセキュリティホールの有無をチェックし、ネットワーク経由から攻撃を受けた場合のセキュリティ強度を確認することができます。
プラットフォーム診断では、インターネット経由から診断を行うことで、ファイアウォールを含めた公開セグメント全体のセキュリティ強度を確認することもできますし、オンサイトから直接サーバに診断を行うことで、サーバ自身のセキュリティ強度を把握する目的でご利用いただくこともできます。
診断の内容
本診断サービスの仕様・内容は、次の通りです。
| 項目 | 作業内容 |
|---|---|
| 作業項目 | ポートスキャン |
| 診断対象のサーバやネットワーク機器の通信ポート(TCP/UDP)に対して、スキャンニングを実施 | |
| セキュリティホール診断 | |
| 各種サーバにおけるセキュリティホールの対策状況を、複数の診断ツールを使用して診断 | |
| アプリケーション情報収集 | |
| 各種サーバで動作しているアプリケーションに関する情報(バージョン情報、アプリ構成等)が取得されないかを診断 | |
| SPAMリレーチェック | |
| メールサーバに接続し、SPAM メールの不正中継を防ぐ設定になっているかを診断 | |
| DoS (Denial of Service) 診断 | |
| 各種サーバに対する DoS 攻撃における脆弱性を診断 | |
| 診断方法 |
インターネット経由+オンサイトとインターネット経由のみの 2 種類から選択 (デフォルトはインターネット経由となります) |
| 対象機器 | サーバ(メール、Web、DNS、データベース等) |
| ネットワーク機器(ファイアウォール、ルータ等) | |
| 診断結果 | 診断終了後、速報レポートを 3 日以内に提出し、2 週間以内に診断報告書を作成 |
|
報告会 (オプション) |
作成した診断報告書を元に、内容を説明 |
診断項目 - 不正侵入系
| 項目名 | 内容 |
|---|---|
| 不正なログイン | ログイン権限を持たない、もしくは、正規のユーザでないユーザが不正にログイン出来ることが想定される脆弱性に関わる診断を行います。デフォルトアカウント(アプリケーションインストール時等に自動的に登録されるアカウント)の放置や、脆弱なパスワードを持つアカウント等、不適切なユーザ管理についての診断を含みます。 |
|
リモートからの プログラム実行 |
リモートから不正なプログラムを実行可能なことが想定される脆弱性に関わる診断を行います。 |
| 特権ユーザ権限の奪取 | 一般ユーザから正規の手順以外の方法で管理者権限やその他特別な権限を取得することが想定される脆弱性に関わる診断を行います。 |
| アクセス制御の不備 | 主にリモートからの診断において、ファイアウォールやルータ等によるアクセス制御設定が適切であるかどうか診断を行います。 |
| バックドアプログラムの存在 | バックドア(裏口)プログラムが動作していないか診断を行います。 |
診断項目 - サービス妨害系
| 項目名 | 内容 |
|---|---|
| サービス妨害・停止 | サービスを妨害もしくは停止される可能性のある脆弱性について診断を行います。なお、本項目での診断では実際に攻撃は行わず、主にサーバのバージョン情報等から脆弱性を推測して検出します。 |
| DDoSエージェントの存在 | DDoS (分散型サービス妨害攻撃)に使用されるエージェントプログラムが動作していないか診断を行います。 |
診断項目 - 情報漏洩系
| 項目名 | 内容 |
|---|---|
| リモートからのファイル取得 |
リモートからファイルが取得可能な脆弱性について診断を行います。 主に NFS (Network File System)や FTP (File Transfer Protocol)、Windows のファイル共有等、リモートホスト間でファイルを送受信することが可能なサービスの設定不備によるファイル取得について検出を行います。 |
| 不要なサービスの動作 | ポートスキャンを行い、一般的に動作させておく必要が無いと思われるサービスが動作していないか診断を行います。 |
|
サーバプログラムの バージョン取得 |
ヘッダ情報等によるサービスプログラムのバージョンの取得について診断を行います。 |
|
設定不備による システム情報漏洩 |
OS やサーバプログラムの設定不備によるシステム・ユーザ情報漏洩の存在について診断を行います。 |
| 既知の脆弱性による情報漏洩 | FTP サーバや Web サーバ等、サーバ自体に存在する既知の脆弱性による情報漏洩について診断を行います。 |
レポート内容
レポート内容は、サンプルレポートでご確認ください。サンプルレポートは、資料請求ページからお申込みください。お申込の際、「プラットフォーム診断」をご指定ください。
価格
「プラットフォーム診断」の料金は以下の通りです。
| 項目 | 内 容 | 金額(円・税抜) |
|---|---|---|
| 基本診断料金 | リモートの診断です。IPアドレス5個までを含みます。 | 350,000円 |
| 追加診断料金 | 1 IPアドレス当たりの追加料金です。6 IPアドレス以上の診断に必要となります。 | 35,000円 |
オプションについては、「診断サービス・コース共通オプション 価格」をご参照ください。
