NETWORK&WEB APPLICATION 脆弱性診断サービス
脆弱性診断サービス
サーバー・ネットワークを診断する「ネットワーク診断」とwebサイト診断をする「Webアプリケーション診断」を提供します。
診断を組み合わせることで、より深いリスクのチェックが可能です。
ネットワーク診断
定番の「Nessus」を利用し、サーバー・ネットワークの脆弱性をリモートから短時間で診断します。
Webアプリケーション診断
世界有数のセキュリティ研究開発機関であるX-Forceをバックグラウンドに持つ「AppScan」を利用したWebサイトの脆弱性診断
ネットワーク診断
サーバー・ネットワークの脆弱性を短時間で診断します
信頼性の高いNessusとフリーの診断ツールを組み合わせて、サーバやネットワーク機器のセキュリティ脆弱性を診断します。
複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ、不要サービスポートのオープン状況確認、ゾーン情報/バージョン情報読出しチェック、セキュリティホールのDoS耐性診断等、既知の潜在的な脆弱性の把握・対策が可能となります。
ツールを使った自動診断 + 専門家の分析結果
- Point1迅速な結果報告
- Point2低価格で利用
- Point3ミスのない信頼性
ネットワーク診断 検査項目例
各アプリケーションの設定、パッチ適用状況の確認、また、インターネットからの疑似攻撃テストを行います。
現状
- パッチ適用状況チェック
- 既知の脆弱性攻撃試行チェック
- 不適切な設定のチェック(不必要な共有設定、デフォルト設定のままの問題点など)
- アカウントチェック(デフォルト設定で脆弱な状態にあるビルトインアカウントの存在など)
その他攻撃パターンの試行の診断項目
- ポートスキャン
- サービス検知
- バックドア攻撃
- Dos攻撃
- リモートシェル攻撃 (遠隔操作試行攻撃)
ネットワーク診断 レポート内容
- 脆弱性診断情報
- 脆弱性診断結果サマリ
- 各脆弱性レベル毎の詳細情報
- 対策提案
| 脆弱性レベル(リスク) | 概要 |
|---|---|
| Critical | 即座に対策が必要で、特に致命的な脆弱性 |
| High | 即座に対策が必要な脆弱性 |
| Middle | 対策の検討が必要な脆弱性 |
| Low | 現時点でのリスクは低いが、今後を見越して対策の検討が必要なもの ※本資料のサマリには記載しておりません※ |
| Info | 現時点でのリスクは低いが、今後を見越して対策の検討が必要なもの ※本資料のサマリには記載しておりません※ |
危険度の高い脆弱性が見つかった場合は、内容詳細と推奨する解決策を報告します。
詳細情報 ※一部サンプルより抜粋
10IPアドレスまで基本料金
【注意事項】
- リモート診断となります
- 不要サービスポートの有無、サーバーの脆弱性に関する診断結果をレポートします
4つのオプション
- Point1診断IPアドレス追加
- Point2定期診断プラン
- Point3オンサイト診断
- Point4報告会開催
危険度を Critical,High,Mediumに分類し、推奨解決方法をレポートします。Webアプリケーション診断と組み合わせることで、より深いリスクのチェックが可能です。
Webアプリケーション診断
Webアプリの脆弱性やインフラ設定ミス、既知の問題を検知
クロスサイト・スクリプティングというようなWebアプリケーションソフトが内包する攻撃リスクに対し、セキュリティホール(脆弱性)が存在しないかを自動診断します。
世界有数のセキュリティ研究開発機関であるX-Forceをバックグラウンドに持つクラウド型「AppScan」を利用し、診断に必要な手間もコストも削減可能です。
Webアプリ診断 レポート内容
レポート記載事項(概要)
- 見つかった問題のタイプ
- 影響を受けるURLファイル
- 推奨される修正
- セキュリティーリスク
各リスク毎の詳細説明
- 重大度
- URL
- パラメータ
- リスク
- 修正
- 要求と応答ログおよび問題個所
Webアプリ診断 選べる3プラン
1 クイックプラン
■ アピールポイント
最短3日のスピード診断
■ 手法
※セキュリティリスクの高い脆弱性に 絞って診断を実施
※OWASPに準拠した診断内容
※簡易レポートの提出
※脅威の検出がない場合、脅威がなかったことのレポートを提出
2 スタンダードプラン
■ アピールポイント
多言語対応レポート
診断後30日間サポート
■ 手法
※脅威度判定で「高」「中」のみではなく、「低」「情報」についても検出
※ツールの診断結果は参考資料とし、詳細な診断レポートを提出
3 プロフェッショナルプラン
■ アピールポイント
ホワイトハッカーによる
詳細診断
■ 手法
※解決方法も含めて、独自フォームのレポートを作成
4 つのオプション
- Option1モバイル診断支援
- Option2オンサイト診断
- Option3報告会(オンサイト)
- Option4WEBペネトレーションテスト
クイックプラン
WEB制作に工数が取られて納期までに時間がない中で、脆弱性診断を実施しなくてはならない
重要データを取り扱わないので流出リスクは低いが、念のため重要な脆弱性がないか確認したい
会社のポリシー上、更新頻度が高く都度診断を実施しなくてはならないがあまりコストをかけることができない
- セキュリティリスクの高い脆弱性に絞って診断を実施。直接攻撃を受ける危険性を持った脆弱性(当社判定レベル「高」「中」)が対象
- AppScanという高機能診断ツールを使用し、 OWASPが発表しているセキュリティ脅威TOP10に対応した診断を実施
- 期間を重視するため、重要事項に絞ったレポートですが、参考資料は詳細な説明
スタンダードプラン
診断も重要だが、セキュリティ強化を目的としたWebサイト制作をしたい
診断結果について丁寧な説明資料が欲しい
ページ数が多いがすべて診断したい。ただ手動診断まで実施する時間・コストはかけたくない
- すぐに対処が必要と考えられる、当社脅威度判定「高」「中」のみではなく、将来的に攻撃リスクにつながる可能性がある「低」や「情報」レベルについてもレポート
- ベトナム語、インドネシア語などでレポート提出が可能
- 初回診断後30日間サポートを実施し、1回の再診断が可能
プロフェッショナルプラン
脆弱性だけではなく、高いセキュリティを考慮したWEBサイトの制作を行いたい
サイトの性質に合わせた攻撃を実施して脆弱性を見てほしい
複数の攻撃シナリオを実施しても問題がないサイトであるかを確認したい
- 診断対象サイトに合わせて攻撃手法を組み立てて脆弱性診断
- 単純なパターン化された自動診断だけではなく、複数の攻撃を組み合わせた複雑な攻撃シナリオに対して、サイトの課題がないかをチェック
- 対策レポートでは、サイトの改修だけではなく、恒久的な解決策としてのセキュリティソリューションの提案も併せて実施
Webアプリ診断 プラン比較
| プラン比較 | クイックプラン | スタンダードプラン | プロフェッショナルプラン |
|---|---|---|---|
| OWASP TOP10 準拠の診断 | |||
| 100ページ以上のWebサイト | |||
| 診断後サポート及び再診断 | |||
| 診断レポート提出 | |||
| 日・英・中以外の国の言語対応 | |||
| 初回診断後の30日以内の再診断 | |||
| 複数の攻撃シナリオから手動診断 | |||
| サイトの性質に合わせた診断 |
Webアプリ診断 お申込みの流れ
脆弱性診断後のおすすめセキュリティ対策
ネットワーク監視
「Fortinet」FortiGate+SOC運用
- ネットワーク全体の防御
- 危険なアラートの即時通知
- 機器に対する定期的な脆弱性有無チェック
総合サーバーセキュリティ
「TrendMicro」DeepSecurity+SOC運用
- 仮想パッチの自動適用
- 万が一WEBサイトが緊急パッチを適用し忘れたとしても脆弱性を狙った攻撃を防御
- 複数機能で多層防御を実現
webサイト防御
「F5 Networks」Advanced WAF+SOC運用
- 盗んだ認証情報を利用した総当たり攻撃からの保護
- 危険な通信からwebサイトを防御
脆弱性管理
「Tenable」Tenable.io+運用支援
- 脆弱性対策の管理、自動化、内製化
- ユーザー企業が保有する資産全体の脆弱性対策
構築、保守、運用についてもネットワールドにおまかせください!