ITインフラをトータル支援するサポートサービスインテグレーター

株式会社アルファネット

セキュリティ

セキュリティ診断サービス

こんな悩みをお持ちのお客様にお勧めのサービス

  • Webサイトで「お問い合わせフォーム」や「○○募集フォーム」等を公開している。 脆弱性の診断をして欲しいが・・安価で頼めないか?
  • Webアプリケーション開発を行っており、納品前に脆弱性が無いかが心配!! 第3者の視点で確認してほしい。
  • 万一公開Webサイトがハッカーの攻撃によりダウンしてしまったら、ビジネスに非常に大きな影響がある!!問題が無いか確認したい。
  • 専門業者によるセキュリティ診断を受けたことが無い。

 arrow.png

アルファネットなら

近年ではハッキングの知識が無くとも、高度なハッキングが出来るツールや、発信元を隠蔽するツールなどが 出回っていることもあり、企業Webサイトへの攻撃が増加傾向にあります。当社が診断した食品販売サイトでは、データベースのテーブル名が全て閲覧可能な脆弱性が見つかりました。(SQLインジェクション)実際にこの脆弱性を突いた攻撃を仕掛けられた場合、会員のIDとパスワード全てが外部から閲覧可能となり、会員と企業の双方が大きな損害を受けた可能性があります。 

脆弱性が出てしまう原因

  • アプリケーション設計ミス---セッション管理、セキュアコーディング不備
  • Webサーバ&コンテンツ管理ミス ---アクセス制御/コンテンツ配置ミスなど
  • 既知の脆弱性とパッチ未適用---バグのパッチ適用漏れ

脆弱性が及ぼす影響

  • プライバシー情報→名簿業者、スパム業者へ情報を転売
  • WebサイトのID→詐取したIDで他サイトにログイン
  • クレジットカード情報→換金性の高い品物を購入し現金化

セキュリティ診断サービスとは

お客様のホームページや外部からアクセス可能なサーバ/ネットワーク機器に対し、アルファネットセキュリティ監査センターよりインターネット越しに擬似サイバー攻撃を行うサービスです。実際にサイバー攻撃で使われる既知のあらゆる手法を使い攻撃を行います。アルファネットのセキュリティ診断サービスは、複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、診断ツールでは実現出来ない圧倒的検出力で、ホームページやサーバ/ネットワーク機器に潜む脆弱性を徹底的に洗い出します。

企業のIT管理担当者の方々は「ウチは大丈夫」と思っている場合が多くありますが、セキュリティ診断サービスを実際に受けてみると意外なほど多くの脆弱性が発見されます。「なーに言ってるの」と思ってる皆さん、だまされたと思って一度診断を受けてみてください。私共の経験では、診断させて頂いた大半の案件で重大な脆弱性が見つかっています。

アルファネットのセキュリティ診断サービスは、お客様のITシステムに潜むセキュリティ脆弱性の有無を調査し、報告書に纏めご提供します。報告書は、脆弱性が見つかった場所や危険内容、危険度合い、有効な対策等を詳しく記載し、お客様にすぐに対策に取り掛かって頂くことが出来る内容としています。

サイバー攻撃の手法と対策は、イタチごっこのようなものです。一度診断を受け、発見された脆弱性の対策を行えば万全というわけにはいかないのが実情です。私共では出来れば1年に1度程度、定期的に診断をお受けになることをお薦めしております。


セキュリティ診断サービス内容

~Webアプリケーションとインフラからの双方向アプローチによる、あらゆる角度からのサイト診断~

Webアプリケーション診断サービス

Webサービスの動的ページに対し、外部から擬似攻撃!! セキュリティ診断サービス


Webサーバ上で稼動するアプリケーションの動的ページ※に対し、当社のセキュリティスペシャリストがSQLインジェクションやクロスサイトスクリプティングを始めとする既知の攻撃手法を実際に用いてセキュリティ脆弱性診断を行います。これにより、対象となるWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
※動的ページ
ネットショッピング、資料請求、QAのようなエントリーフォームに代表される.jsp、.aspx、.phpなどで作成されたWebコンテンツの内容をWebアプリケーションで生成するページ。

Webアプリケーション診断項目

【スタンダード】
SQLインジェクションやクロスサイトスクリプティングなど特に代表的な攻撃手法を用いた診断サービスです。 既知の大半の攻撃事例を網羅します。

アドバンスド
スタンダードでご提供するサービスに加え、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供いたします。サイバー攻撃のビジネスインパクトが特に大きいお客様にお薦めしています。

診断項目診断概要スタンダードアドバンスド
SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査
クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査
クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査
OSコマンドインジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査
Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査
メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査
ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査
オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査
HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査
不適切な認証制御 認証前に認証後のページにアクセスできないかを検査
セッションIDが推測可能 セッションIDが容易に推測できないかを検査
セッションフィクセーション検査 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査
Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査
不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査
不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査
不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査
ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査
不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査
不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査
エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査
自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査
HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査
SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査
XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査
XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査
LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査
hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査
不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査
SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査
SSLの利用における問題 適切に通信が暗号化されてるかを検査
クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査
Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査

ネットワークセキュリティ診断

ネットワーク機器(サーバやルータなど)に対し、外部から擬似攻撃

ネットワーク診断

商用/フリー診断ツールや独自開発ツールと手動診断を組み合わせサーバやネットワーク機器のセキュリティ脆弱性を診断致します。複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ、500パターン以上のメール不正中継可否検査、不要サービスポートのオープン状況確認、ゾーン情報/バージョン情報読出しチェック、DoS耐性診断等、4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能となります。


ネットワークセキュリティ診断項目

診断項目診断方法診断概要
ホスト情報収集 ポートスキャン
[TCP/UDP]
開放ポート(稼動サービス)のスキャン
ping/traceroute応答 ネットワーク経由によるホストの応答確認
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集
ネットワーク
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
TCP接続 TCPによるセッションの確立、telnet、SSH等の遠隔管理ポートへの接続確認
Webサーバ
脆弱性診断
TRACEリクエストの応答 Web検査用機能の確認、及び同機能による情報漏えいの検査
WebDAV接続検査 Webサーバの不必要なファイル共有機能における情報漏えいの検査
サンプルページ、
デフォルトページ検査
不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
DNSサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
DNSサーバからの情報入手 ゾーン情報データベース(ホスト名とIPアドレスの関連付け情報一覧)の入手
Mailサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
メール不正中継診断 不正メールの踏み台、なりすましに対する危険性の検査
拡張メールコマンドの実行 不正なメールコマンドによるアカウント情報の入手


サービスの3つの特長 ①安心

アルファネットのWebアプリケーション診断サービスの特長の1つである「安心」は、幅広さと深さです。類似サー ビスを提供する他社と比べ、数多くの項目(幅広さ)を細部(深さ)に渡り診断することにより、あらゆるセキュリ ティ脆弱性を洗い出します。アルファネットのサービスをご利用頂く全てのお客様へ安心の品質をご提供致します。

【ウェブ健康診断】
LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目
診断項目危険度ウェブ
健康
診断
AnetB社C社D社E社F社
SQLインジェクション検査
クロスサイトスクリプティング検査
クロスサイト・リクエスト・フォージェリ診断
低~高
-
-
OSコマンドインジェクション検査
Webコンテンツのディレクトリ一覧が閲覧可能
低~高
-
メールヘッダインジェクション
中~高
-
-
-
-
パス名パラメータの未チェック/ディレクトリ・トラバーサル
-
-
-
オープンリダイレクトの脆弱性
-
-
-
-
HTTPヘッダインジェクション
-
-
-
-
不適切な認証(Insufficient Authentication)
低~中
-
-
-
セッションの推測(Session Prediction)
低~高
-
-
-
セッションフィクセーション診断
-
-
クッキーのセキュリティ属性設定診断
-
-
-
不適切な承認(Insufficient Authorization)
-
-
-
LDAPインジェクション検査
-
-
-
-
-
SSIインジェクション
-
-
-
-
XPathインジェクション
-
-
-
-
クッキーの改竄や不正取得
低~高
-
-
-
-
-
エラーメッセージからの情報漏えい
-
-
-
-
診断方法
手動
ツール
手動
ツール
手動
手動
ツール
手動
手動


【危険度「高」】 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。攻撃を受けると、大量の報漏洩や改ざんの被害を生じる可能性がある。

【危険度「中」】 攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。若しくは能動的な脆弱性であっても大量の情報漏洩や改ざんにはつながりにくいもの。

【危険度「低」】 攻撃成功の確率が低い若しくは攻撃が成功しても被害が軽微であると考えられる脆弱性。確率は低いものの被害に遭う可能性はある。

サービスの3つの特長 ②高品質

細部に渡る診断

アルファネットのWebアプリケーション診断サービスは、全ての診断を脆弱性診断ツールに頼ることなく手作業にて行っております。診断対象のWebページに対し、当社のセキュリティスペシャリストが様々な角度から擬似攻撃を仕掛け、脆弱性の有無を検証するサービスとなります。非常に手間のかかる作業ですが、このような診断手法を採用することにより脆弱性診断ツールを利用した診断に比べ遥かに細部に渡る診断を行うことが可能となっております。

精確さ

アルファネットのネットワーク診断サービスは、商用診断ツール、フリー診断ツール、独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております。脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり、単一のツールや手法では誤認識や検出漏れが発生する場合があります。そこで、当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止し、さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しております。当社の精確な診断サービスは、こういった企業努力により実現しております。

サービスの3つの特長 ③分り易さ

アルファネットのセキュリティ診断サービスは、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をご提出致します。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分り易く纏めご提出しております。

診断報告書サンプル
診断報告書サンプル
Page Top