ITインフラをトータル支援するサポートサービスインテグレーター

株式会社アルファネット

サイバーセキュリティ

セキュリティ診断サービス

セキュリティ診断サービスは、当社のセキュリティスペシャリストが、実際にハッキングで使われる 技術と同じ手法を用いてお客様のWebサイトやネットワーク機器へ外部ネットワークから擬似攻撃を行い、ハッキング 耐性を診断、報告書に纏めお客様にご提出します。

こんな悩みをお持ちのお客様にお勧めのサービス

  • Webサイトで「お問い合わせフォーム」や「○○募集フォーム」等を公開している。 脆弱性の診断をして欲しいが・・安価で頼めないか?
  • Webアプリケーション開発を行っており、納品前に脆弱性が無いかが心配!! 第3者の視点で確認してほしい。
  • 万一公開Webサイトがハッカーの攻撃によりダウンしてしまったら、ビジネスに非常に大きな影響がある!!問題が無いか確認したい。
  • 専門業者によるセキュリティ診断を受けたことが無い。

 arrow.png

アルファネットなら

近年ではハッキングの知識が無くとも、高度なハッキングが出来るツールや、発信元を隠蔽するツールなどが 出回っていることもあり、企業Webサイトへの攻撃が増加傾向にあります。当社が診断した食品販売サイトでは、データベースのテーブル名が全て閲覧可能な脆弱性が見つかりました。(SQLインジェクション)実際にこの脆弱性を突いた攻撃を仕掛けられた場合、会員のIDとパスワード全てが外部から閲覧可能となり、会員と企業の双方が大きな損害を受けた可能性があります。 


脆弱性が出てしまう原因

  • アプリケーションのプログラムミス
    プログラム作成時の設計ミスなどが考えれ脆弱性の原因となります。
  • Webサーバ設定やコンテンツ管理ミス
    アクセス制御やコンテンツ配置ミスなどが脆弱性の原因となります。
  • 既知の脆弱性とパッチ未適用
    バグが出た際にパッチ適用が漏れてしまうと脆弱性の原因となります。

脆弱性が及ぼすリスク

  • Webサイトの改ざんにより知らぬ間に加害者に!

    クロスサイトスクリプティングの脆弱性でスプリクトの注入を許すなど、 ランラムウェアの配布サイトになり、サイト訪問閲覧者に対して⼤きな被害を与えてしまう可能性があります。 ランサムウェア攻撃の侵⼊経路は、ユーザーが閲覧したWeb サイトから知らないうちにマルウェアをダウンロード してしまう「ドライブバイダウンロード」などが発端になっています。

    特定の企業や組織等を標的に機密情報などを窃取する「標的型攻撃」の手法の一つにある「水飲み場攻撃」は、攻撃対象となるユーザーが普段アクセスするWebサイトを改ざんし、サイトを閲覧しただけでマルウェアに感染するような罠を仕掛ける攻撃方法となります。ターゲット以外の企業/組織に所属しているユーザーには攻撃が行われないため、発見が非常に困難です。
    • セキュリティ診断サービスとは

      アルファネットのセキュリティ診断は、お客様のホームページや外部からアクセス可能なサーバ/ネットワーク機器に対し、セキュリティ監査センターよりインターネット越しに擬似攻撃を行うサービスです。実際にサイバー攻撃で使われる既知のあらゆる手法を使い攻撃を行います。複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、診断ツールでは実現出来ない圧倒的検出力で、ホームページやサーバ/ネットワーク機器に潜む脆弱性を徹底的に洗い出します。

      企業のIT管理担当者の方々は「ウチは大丈夫」と思っている場合が多くありますが、セキュリティ診断サービスを実際に受けてみると意外なほど多くの脆弱性が発見されます。だまされたと思って一度診断を受けてみてください。私共の経験では、診断させて頂いた大半の案件で重大な脆弱性が見つかっています。

      アルファネットのセキュリティ診断サービスは、お客様のITシステムに潜むセキュリティ脆弱性の有無を調査し、報告書にまとめご提供します。報告書は、脆弱性が見つかった場所や危険内容、危険度合い、有効な対策等を詳しく記載し、お客様にすぐに対策に取り掛かって頂くことが出来る内容としています。

      サイバー攻撃の手法と対策は、イタチごっこのようなものです。一度診断を受け、発見された脆弱性の対策を行えば万全というわけにはいかないのが実情です。私共では出来れば1年に1度程度、定期的に診断をお受けになることをお薦めしております。


改ざんや踏み台にされる事があるのかなど検証し実際のリスクを検証できるペネトレーションテストはこちらです。

セキュリティ診断サービス内容

Webアプリケーションとインフラからの双方向アプローチによる、あらゆる角度からのサイト診断


Webアプリケーション診断

Webサービスの動的ページに対し、外部から擬似攻撃!! セキュリティ診断サービス

Webアプリケーション診断項目
診断項目 診断概要スタンダードアドバンスド
SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査
クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査
クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査
OSコマンドインジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査
Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査
メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査
ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査
オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査
HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査
不適切な認証制御 認証前に認証後のページにアクセスできないかを検査
セッションIDが推測可能 セッションIDが容易に推測できないかを検査
セッションフィクセーション検査 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査
Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査
不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査
不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査
不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査
ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査
不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査
不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査
エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査
自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査
HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査
SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査
XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査
XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査
LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査
hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査
不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査
SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査
SSLの利用における問題 適切に通信が暗号化されてるかを検査
クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査
Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査


ネットワークセキュリティ診断

ネットワーク機器(サーバやルータなど)に対し、外部から擬似攻撃
ネットワーク診断

ネットワークセキュリティ診断項目
診断項目診断方法診断概要
ホスト情報収集 ポートスキャン
[TCP/UDP]
開放ポート(稼動サービス)のスキャン
ping/traceroute応答 ネットワーク経由によるホストの応答確認
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集
ネットワーク
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
TCP接続 TCPによるセッションの確立、telnet、SSH等の遠隔管理ポートへの接続確認
Webサーバ
脆弱性診断
TRACEリクエストの応答 Web検査用機能の確認、及び同機能による情報漏えいの検査
WebDAV接続検査 Webサーバの不必要なファイル共有機能における情報漏えいの検査
サンプルページ、
デフォルトページ検査
不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
DNSサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
DNSサーバからの情報入手 ゾーン情報データベース(ホスト名とIPアドレスの関連付け情報一覧)の入手
Mailサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
メール不正中継診断 不正メールの踏み台、なりすましに対する危険性の検査
拡張メールコマンドの実行 不正なメールコマンドによるアカウント情報の入手

サービスの3つの特長 ①安心

アルファネットのWebアプリケーション診断サービスの特長の1つである「安心」は、幅広さと深さです。類似サー ビスを提供する他社と比べ、数多くの項目(幅広さ)を細部(深さ)に渡り診断することにより、あらゆるセキュリ ティ脆弱性を洗い出します。アルファネットのサービスをご利用頂く全てのお客様へ安心の品質をご提供致します。


ウェブ健康診断 LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目

診断項目危険度ウェブ
健康
診断
AnetB社C社D社E社F社
SQLインジェクション検査
クロスサイトスクリプティング検査
クロスサイト・リクエスト・フォージェリ診断
低~高
-
-
OSコマンドインジェクション検査
Webコンテンツのディレクトリ一覧が閲覧可能
低~高
-
メールヘッダインジェクション
中~高
-
-
-
-
パス名パラメータの未チェック/ディレクトリ・トラバーサル
-
-
-
オープンリダイレクトの脆弱性
-
-
-
-
HTTPヘッダインジェクション
-
-
-
-
不適切な認証(Insufficient Authentication)
低~中
-
-
-
セッションの推測(Session Prediction)
低~高
-
-
-
セッションフィクセーション診断
-
-
クッキーのセキュリティ属性設定診断
-
-
-
不適切な承認(Insufficient Authorization)
-
-
-
LDAPインジェクション検査
-
-
-
-
-
SSIインジェクション
-
-
-
-
XPathインジェクション
-
-
-
-
クッキーの改竄や不正取得
低~高
-
-
-
-
-
エラーメッセージからの情報漏えい
-
-
-
-
診断方法
手動
ツール
手動
ツール
手動
手動
ツール
手動
手動

サービスの3つの特長 ②高品質

細部に渡る診断

アルファネットのWebアプリケーション診断サービスは、全ての診断を脆弱性診断ツールに頼ることなく手作業にて行っております。診断対象のWebページに対し、当社のセキュリティスペシャリストが様々な角度から擬似攻撃を仕掛け、脆弱性の有無を検証するサービスとなります。非常に手間のかかる作業ですが、このような診断手法を採用することにより、脆弱性診断ツールを利用した診断に比べ遥かに細部に渡る診断を行うことが可能となっております。


精確さ

アルファネットのネットワーク診断サービスは、商用診断ツール、フリー診断ツール、独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております。脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり、単一のツールや手法では誤認識や検出漏れが発生する場合があります。そこで、当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止し、さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告おります。当社の精確な診断サービスは、こういった企業努力により実現しております。


サービスの3つの特長 ③分り易さ

アルファネットのセキュリティ診断サービスは、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をご提出致します。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分り易くまとめご提出しております。またご要望によっては報告会の開催も行います。

診断報告書サンプル

診断報告書サンプル

セキュリティ記事

サービスに関するお問い合わせ03-5800-4307
Page Top