ITインフラをトータル支援するサポートサービスインテグレーター

株式会社アルファネット

セキュリティ

セキュリティ診断サービス

こんな悩みをお持ちのお客様にお勧めのサービス

  • Webサイトで「お問い合わせフォーム」や「○○募集フォーム」等を公開している。 脆弱性の診断をして欲しいが・・安価で頼めないか?
  • Webアプリケーション開発を行っており、納品前に脆弱性が無いかが心配!! 第3者の視点で確認してほしい。
  • 万一公開Webサイトがハッカーの攻撃によりダウンしてしまったら、ビジネスに非常に大きな影響がある!!問題が無いか確認したい。
  • 専門業者によるセキュリティ診断を受けたことが無い。

 arrow.png

アルファネットなら

近年ではハッキングの知識が無くとも、高度なハッキングが出来るツールや、発信元を隠蔽するツールなどが 出回っていることもあり、企業Webサイトへの攻撃が増加傾向にあります。当社が診断した食品販売サイトでは、データベースのテーブル名が全て閲覧可能な脆弱性が見つかりました。(SQLインジェクション)実際にこの脆弱性を突いた攻撃を仕掛けられた場合、会員のIDとパスワード全てが外部から閲覧可能となり、会員と企業の双方が大きな損害を受けた可能性があります。 

脆弱性が出てしまう原因

  • アプリケーション設計ミス---セッション管理、セキュアコーディング不備
  • Webサーバ&コンテンツ管理ミス ---アクセス制御/コンテンツ配置ミスなど
  • 既知の脆弱性とパッチ未適用---バグのパッチ適用漏れ

脆弱性が及ぼす影響

  • プライバシー情報→名簿業者、スパム業者へ情報を転売
  • WebサイトのID→詐取したIDで他サイトにログイン
  • クレジットカード情報→換金性の高い品物を購入し現金化

セキュリティ診断サービスとは

お客様のホームページや外部からアクセス可能なサーバ/ネットワーク機器に対し、アルファネットセキュリティ監査センターよりインターネット越しに擬似サイバー攻撃を行うサービスです。実際にサイバー攻撃で使われる既知のあらゆる手法を使い攻撃を行います。アルファネットのセキュリティ診断サービスは、複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、診断ツールでは実現出来ない圧倒的検出力で、ホームページやサーバ/ネットワーク機器に潜む脆弱性を徹底的に洗い出します。

企業のIT管理担当者の方々は「ウチは大丈夫」と思っている場合が多くありますが、セキュリティ診断サービスを実際に受けてみると意外なほど多くの脆弱性が発見されます。「なーに言ってるの」と思ってる皆さん、だまされたと思って一度診断を受けてみてください。私共の経験では、診断させて頂いた大半の案件で重大な脆弱性が見つかっています。

アルファネットのセキュリティ診断サービスは、お客様のITシステムに潜むセキュリティ脆弱性の有無を調査し、報告書に纏めご提供します。報告書は、脆弱性が見つかった場所や危険内容、危険度合い、有効な対策等を詳しく記載し、お客様にすぐに対策に取り掛かって頂くことが出来る内容としています。

サイバー攻撃の手法と対策は、イタチごっこのようなものです。一度診断を受け、発見された脆弱性の対策を行えば万全というわけにはいかないのが実情です。私共では出来れば1年に1度程度、定期的に診断をお受けになることをお薦めしております。


セキュリティ診断サービス内容

~Webアプリケーションとインフラからの双方向アプローチによる、あらゆる角度からのサイト診断~

Webアプリケーション診断サービス

Webサービスの動的ページに対し、外部から擬似攻撃!! セキュリティ診断サービス


Webサーバ上で稼動するアプリケーションの動的ページ※に対し、当社のセキュリティスペシャリストがSQLインジェクションやクロスサイトスクリプティングを始めとする既知の攻撃手法を実際に用いてセキュリティ脆弱性診断を行います。これにより、対象となるWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
※動的ページ
ネットショッピング、資料請求、QAのようなエントリーフォームに代表される.jsp、.aspx、.phpなどで作成されたWebコンテンツの内容をWebアプリケーションで生成するページ。

Webアプリケーション診断項目

【ベーシック】
SQLインジェクションやXSSなど特に代表的な攻撃手法を用いた診断サービスです。 既知の大半の攻撃事例を網羅します。

診断項目診断概要
クロスサイトスクリプティング検査 不正な文字列と引数の入力に対するHTTPレスポンスの解析による脆弱性の検査
SQLインジェクション検査 不正な文字列と引数の入力データベースエラーに対するHTTPレスポンスの解析による脆弱性の検査
WebDAV接続 Webサーバの不必要なファイル共有機能における情報漏洩検査
サンプルページ、 デフォルトページ 不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集


【アドバンスド】
ベーシックでご提供するサービスに加え「セッション管理の不備」や、以前話題になった「ク ロスサイトリクエストフォージェリ」など、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供い たします。サイバー攻撃のビジネスインパクトが特に大きいお客様にお薦めしています。

※ベーシックの診断項目に加え14項目の診断が追加されます。
診断項目診断概要
クロスサイトスクリプティング検査 不正な文字列と引数の入力に対するHTTPレスポンスの解析による脆弱性の検査
SQLインジェクション検査 不正な文字列と引数の入力データベースエラーに対するHTTPレスポンスの解析による脆弱性の検査
WebDAV接続 Webサーバの不必要なファイル共有機能における情報漏洩検査
サンプルページ、 デフォルトページ 不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集
クロスサイトリクエストフォージェリ検査 セッションの不備により不正な操作を行われてしまう脆弱性の検査
クロスサイトトレーシング TRACEメソッドによるBasic認証クレデンシャル(ユーザ名とパスワード)盗用の検査
ディレクトリトラバーサル検査 閲覧が許可されないファイルに対するアクセス制御の検査
セッションハイジャック検査 セッションIDを盗聴して悪用される攻撃に対する検査
セッションフィクセーション検査 セッションIDの悪用による"なりすまし"攻撃に対する脆弱性の検査
デバッグモード・エラー出力内容検査 デバッグ機能、スタックトレース等攻撃者に有用なメッセージ、機能の利用可否を検査
Cookieの検査 Cookieに重要な情報が含まれていないかを検査
Hiddenフィールド検査 通常変更されるはずのないHiddenフィールドの値の不正改竄に対する脆弱性の検査
検索フォーム検査 検索フォームに不正な入力をされ情報が流出されてしまうことへの検査
OSコマンドインジェクション検査 不正な入力によりサーバ上でOSコマンドを実行されてしまう脆弱性の検査
LDAPインジェクション検査 LDAPの検索条件に不正な文字列と引数を入力し不正なLDAPクエリーを発行させる脆弱性の検査
XPathインジェクション XMLドキュメントの検索条件に不正な文字列と引数を入力し不正なXpathクエリーを発行させる脆弱性の検査
SSIインジェクション SSIスクリプト部に不正な文字列と引数を入力し外部からOSのコマンドを実行したりファイルの閲覧をされてしまう脆弱性の検査
不正ログオン診断 不正ログオンに対する防止機能(ベーシック認証等)が組み込まれていることの検査

ネットワークセキュリティ診断

ネットワーク機器(サーバやルータなど)に対し、外部から擬似攻撃

ネットワーク診断

商用/フリー診断ツールや独自開発ツールと手動診断を組み合わせサーバやネットワーク機器のセキュリティ脆弱性を診断致します。複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ、500パターン以上のメール不正中継可否検査、不要サービスポートのオープン状況確認、ゾーン情報/バージョン情報読出しチェック、DoS耐性診断等、4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能となります。


ネットワークセキュリティ診断項目

診断項目診断方法診断概要
ホスト情報収集 ポートスキャン
[TCP/UDP]
開放ポート(稼動サービス)のスキャン
ping/traceroute応答 ネットワーク経由によるホストの応答確認
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集
ネットワーク
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
TCP接続 TCPによるセッションの確立、telnet、SSH等の遠隔管理ポートへの接続確認
Webサーバ
脆弱性診断
TRACEリクエストの応答 Web検査用機能の確認、及び同機能による情報漏えいの検査
WebDAV接続検査 Webサーバの不必要なファイル共有機能における情報漏えいの検査
サンプルページ、
デフォルトページ検査
不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
DNSサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
DNSサーバからの情報入手 ゾーン情報データベース(ホスト名とIPアドレスの関連付け情報一覧)の入手
Mailサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
メール不正中継診断 不正メールの踏み台、なりすましに対する危険性の検査
拡張メールコマンドの実行 不正なメールコマンドによるアカウント情報の入手


サービスの3つの特長 ①安心

アルファネットのWebアプリケーション診断サービスの特長の1つである「安心」は、幅広さと深さです。類似サー ビスを提供する他社と比べ、数多くの項目(幅広さ)を細部(深さ)に渡り診断することにより、あらゆるセキュリ ティ脆弱性を洗い出します。アルファネットのサービスをご利用頂く全てのお客様へ安心の品質をご提供致します。

【ウェブ健康診断】
LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目
診断項目危険度ウェブ
健康
診断
AnetB社C社D社E社F社
SQLインジェクション検査
クロスサイトスクリプティング検査
OSコマンドインジェクション検査
パス名パラメータの未チェック/ディレクトリ・トラバーサル
-
-
-
LDAPインジェクション検査
-
-
-
-
-
SSIインジェクション
-
-
-
-
XPathインジェクション
-
-
-
-
不適切な承認(Insufficient Authorization)
-
-
-
-
メールヘッダインジェクション
中~高
-
-
-
-
クロスサイト・リクエスト・フォージェリ診断
低~高
-
-
セッションの推測(Session Prediction)
低~高
-
-
-
クッキーの改竄や不正取得
低~高
-
-
-
-
-
ディレクトリ・リスティング
低~高
-
不適切な認証(Insufficient Authentication)
低~中
-
-
-
セッションフィクセーション診断
-
-
意図しないリダイレクト
-
-
-
-
HTTPヘッダインジェクション
-
-
-
-
クッキーのセキュリティ属性設定診断
-
-
-
-
エラーメッセージからの情報漏えい
-
-
-
-
デバックモード
-
-
-
-
-
診断方法
手動
ツール
手動
ツール
手動
手動
ツール
手動
手動


【危険度「高」】 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。攻撃を受けると、大量の報漏洩や改ざんの被害を生じる可能性がある。

【危険度「中」】 攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。若しくは能動的な脆弱性であっても大量の情報漏洩や改ざんにはつながりにくいもの。

【危険度「低」】 攻撃成功の確率が低い若しくは攻撃が成功しても被害が軽微であると考えられる脆弱性。確率は低いものの被害に遭う可能性はある。

サービスの3つの特長 ②高品質

細部に渡る診断

アルファネットのWebアプリケーション診断サービスは、全ての診断を脆弱性診断ツールに頼ることなく手作業にて行っております。診断対象のWebページに対し、当社のセキュリティスペシャリストが様々な角度から擬似攻撃を仕掛け、脆弱性の有無を検証するサービスとなります。非常に手間のかかる作業ですが、このような診断手法を採用することにより脆弱性診断ツールを利用した診断に比べ遥かに細部に渡る診断を行うことが可能となっております。

精確さ

アルファネットのネットワーク診断サービスは、商用診断ツール、フリー診断ツール、独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております。脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり、単一のツールや手法では誤認識や検出漏れが発生する場合があります。そこで、当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止し、さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しております。当社の精確な診断サービスは、こういった企業努力により実現しております。

サービスの3つの特長 ③分り易さ

アルファネットのセキュリティ診断サービスは、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をご提出致します。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分り易く纏めご提出しております。

診断報告書サンプル
診断報告書サンプル
Page Top