ITインフラをトータル支援するサポートサービスインテグレーター

株式会社アルファネット

サイバーセキュリティ

セキュリティ診断サービス

目次

  • こんな悩みをお持ちのお客様にお勧めのサービス
  • セキュリティ診断の必要性
  • セキュリティ診断とは
  • セミナー開催

    Emotet被害の多い今だからこそ! 近年の標的型攻撃の動向と不審メールの見分け方

    効果的な標的型メール訓練でセキュリティ意識の底上げをしませんか?
    詳細は下記をクリックください。

    320_100.jpg
    • 日時:2022年8月23日(火) 11:10~11:40
    • 会場:オンライン(全国どこでも参加可能)

    こんな悩みをお持ちのお客様にお勧めのサービス

    • Webサイトで「お問い合わせフォーム」や「○○募集フォーム」等を公開している。 脆弱性の診断をして欲しいが・・安価で頼めないか?
    • Webアプリケーション開発を行っており、納品前に脆弱性が無いかが心配!! 第三者の視点で確認してほしい。
    • 万一公開Webサイトがハッカーの攻撃によりダウンしてしまったら、ビジネスに非常に大きな影響がある!!問題が無いか確認したい。
    • 専門業者によるセキュリティ診断を受けたことが無い。

     arrow.png

    アルファネットなら

    当社のセキュリティスペシャリストが、実際にハッキングで使われる 技術と同じ手法を用いてお客様のWebサイトやネットワーク機器へ外部ネットワークから擬似攻撃を行い、ハッキング 耐性を診断、報告書に纏めお客様にご提出します。近年ではハッキングの知識が無くとも、高度なハッキングが出来るツールや、発信元を隠蔽するツールなどが 出回っていることもあり、企業Webサイトへの攻撃が増加傾向にあります。当社が診断したサイトの中では、データベースのテーブル名が全て閲覧可能な脆弱性が見つかりました。(SQLインジェクション)実際にこの脆弱性を突いた攻撃を仕掛けられた場合、会員のIDとパスワード全てが外部から閲覧可能となり、会員と企業の双方が大きな損害を受けた可能性があります。 


    セキュリティ診断の必要性

    昨今、不正アクセス事案が後を絶ちません。自社が保有しているシステムに脆弱性があると、システムの直接の利用者だけにとどまらず、多くの人に対して大きな被害を与えてしまう可能性があります。 近年では、被害を受けた企業が直接保有している重要な機密情報や個人情報の流出だけでなく、被害を受けた企業のシステムが踏み台にされて関連する取引先にも被害が広がっていく「サプライチェーン攻撃」が大きな社会問題となっています。このように、不正アクセスを受けてしまった場合の影響範囲は想像以上に広くなる可能性があり、被害規模によっては信頼の低下や風評被害はもとより、企業としての社会的責任の追及を免れない状況が訪れてしまうことも十分考えられます。先に述べたことは、あくまでこの上なく悪いケースの1つですが、このような状況にならないためにも、情報システムの脆弱性やセキュリティの堅牢性などを確認しておくことを推奨します。

    脆弱性が及ぼすリスク

    Webサイトの改ざんにより知らぬ間に加害者に!

    • Webサイトが改ざんされると、ランサムウェアなどのマルウェアの配布サイトにされてしまう場合があり、サイト訪問閲覧者に対して大きな被害を与えてしまう可能性があります。 マルウェアの侵入経路の代表的な例として、ユーザーが閲覧したWebサイトから知らないうちにマルウェアをダウンロード してしまう「ドライブバイダウンロード」などがあげられます。
    • 特定の企業や組織等を標的に機密情報などを窃取する「標的型攻撃」の手法の一つにある「水飲み場攻撃」は、攻撃対象となるユーザーが普段アクセスするWebサイトを改ざんし、サイトを閲覧しただけでマルウェアに感染するような罠を仕掛ける攻撃方法となります。ターゲット以外の企業/組織に所属しているユーザーには攻撃が行われないため、発見が非常に困難です。
      • 脆弱性が出てしまう原因として考えられること

        • アプリケーションのプログラムミス
          プログラム作成時の設計ミスなどが考えれ脆弱性の原因

        • Webサーバ設定やコンテンツ管理ミス
          アクセス制御やコンテンツ配置ミスなどが脆弱性の原因

        • 既知の脆弱性とパッチ未適用
          バグが出た際にパッチ適用が漏れてしまうと脆弱性の原因

        セキュリティ診断サービスとは

        アルファネットのセキュリティ診断は、お客様のホームページや外部からアクセス可能なサーバ/ネットワーク機器に対し、セキュリティ監査センターよりインターネット越しに擬似攻撃を行うサービスです。実際にサイバー攻撃で使われる既知のあらゆる手法を使い攻撃を行います。複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、診断ツールでは実現出来ない圧倒的検出力で、ホームページやサーバ/ネットワーク機器に潜む脆弱性を徹底的に洗い出します。

        企業のIT管理担当者の方々は「ウチは大丈夫」と思っている場合が多くありますが、セキュリティ診断サービスを実際に受けてみると意外なほど多くの脆弱性が発見されます。私共の経験では、診断させて頂いた大半の案件で重大な脆弱性が見つかっています。

        アルファネットのセキュリティ診断サービスは、お客様のITシステムに潜むセキュリティ脆弱性の有無を調査し、報告書にまとめご提供します。報告書は、脆弱性が見つかった場所や危険内容、危険度合い、有効な対策等を詳しく記載し、お客様にすぐに対策に取り掛かって頂くことが出来る内容としています。

        サイバー攻撃の手法と対策は、イタチごっこのようなものです。一度診断を受け、発見された脆弱性の対策を行えば万全というわけにはいかないのが実情です。私共では出来れば1年に1度程度、定期的に診断をお受けになることをお薦めしております。

        セキュリティ診断・ペネトレーションテスト比較表

        アルファネットでは、セキュリティ診断サービスの他に、「ペネトレーションテストサービス」をご用意しています。 実施目的や評価の観点が異なるサービスとなりますので、それぞれの違いにつきましては下記表をご参照ください。

        セキュリティ診断ペネトレーションテスト
        目的 脆弱性を網羅的に洗い出し検査

        攻撃者の目的(情報搾取や改ざん、妨害など)が達成できるか検証

        目的達成のための脆弱性の検査や実行可能な攻撃コードの検証
        評価 IPAなどのセキュリティ規格を基準に検査・分析・評価 実際のサイバー攻撃同様に、目的の攻撃が達成できるか検証
        報告 個々の脆弱性に対する危険度評価とリスト化 シナリオと攻撃検証結果・システムリスク評価
        網羅性 あり なし
        スキル 脆弱性の指摘 脆弱性の活用

        改ざんや踏み台にされる事があるのかなど検証し実際のリスクを検証できるペネトレーションテストはこちらです。

目次

サービスの3つの特長 ①安心

情報セキュリティサービス基準に適合

SSS.pngアルファネットのWebアプリケーション診断・ネットワーク診断(プラットフォーム診断)は経済産業省の定める情報セキュリティサービス基準(経済産業省ウェブサイト)に適合するサービスとして、IPA(独立行政法人情報処理推進機構)の公開する「情報セキュリティサービス基準適合サービスリスト」(IPAウェブサイト)に登録されています。

診断項目の幅広さと深さ

類似サー ビスを提供する他社と比べ、数多くの項目(幅広さ)を細部(深さ)に渡り診断することにより、あらゆるセキュリ ティ脆弱性を洗い出します。アルファネットのサービスをご利用頂く全てのお客様へ安心の品質をご提供致します。

Webアプリケーション診断項目 他社比較

※ウェブ健康診断 LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目となります。

診断項目危険度ウェブ健康診断AnetB社C社D社E社 F社
SQLインジェクション検査
クロスサイトスクリプティング検査
クロスサイト・リクエスト・フォージェリ診断
低~高
-
-
OSコマンドインジェクション検査
Webコンテンツのディレクトリ一覧が閲覧可能
低~高
-
メールヘッダインジェクション
中~高
-
-
-
-
パス名パラメータの未チェック/ディレクトリ・トラバーサル
-
-
-
オープンリダイレクトの脆弱性
-
-
-
-
HTTPヘッダインジェクション
-
-
-
-
不適切な認証(Insufficient Authentication)
低~中
-
-
-
セッションの推測(Session Prediction)
低~高
-
-
-
セッションフィクセーション診断
-
-
クッキーのセキュリティ属性設定診断
-
-
-
不適切な承認(Insufficient Authorization)
-
-
-
LDAPインジェクション検査
-
-
-
-
-
SSIインジェクション
-
-
-
-
XPathインジェクション
-
-
-
-
クッキーの改竄や不正取得
低~高
-
-
-
-
-
エラーメッセージからの情報漏えい
-
-
-
-
診断方法
手動
ツール
手動
ツール
手動
手動
ツール
手動
手動

サービスの3つの特長 ②高品質

細部に渡る診断

アルファネットのWebアプリケーション診断サービスは、全ての診断を脆弱性診断ツールに頼ることなく手作業にて行っております。診断対象のWebページに対し、当社のセキュリティスペシャリストが様々な角度から擬似攻撃を仕掛け、脆弱性の有無を検証するサービスとなります。非常に手間のかかる作業ですが、このような診断手法を採用することにより、脆弱性診断ツールを利用した診断に比べ遥かに細部に渡る診断を行うことが可能となっております。

精確さ

アルファネットのネットワーク診断(プラットフォーム診断)サービスは、商用診断ツール、フリー診断ツール、独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております。脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり、単一のツールや手法では誤検知や検出漏れが発生する場合があります。そこで、当社では多数のツール及び手法を組み合わせることで誤検知や検出漏れを防止し、さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告おります。当社の精確な診断サービスは、こういった企業努力により実現しております。


サービスの3つの特長 ③分かり易さ

アルファネットのセキュリティ診断サービスは、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をご提出致します。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分かり易くまとめご提出しております。またご要望によっては報告会の開催も行います。

診断報告書サンプル

診断報告書サンプル

実施フロー

当社とお客様

  • ヒアリング
  • リクエスト数・画面数
  • 画面遷移図
  • グローバルIPアドレス数
    等のご提示

当社とお客様

  • 対象リスト送付
  • ヒアリングシート
  • 注意事項確認
  • スケジュール確定
  • テストアカウント発行
  • 診断時の注意事項送付

当社対応

  • 開始・終了連絡
  • 緊急時の対応
    (サイトアクセスできない等)
  • 結果速報メール
    (ご希望のお客様、緊急度の高い
    脆弱性が発見された場合)

当社対応

  • 結果報告書
    (wordファイル)
  • 報告会
    (オプション)

目次

Webアプリケーション診断(手動)

  • Webサーバ上で稼動するアプリケーションの動的ページに対し、当社のセキュリティスペシャリストがSQLインジェクションやクロスサイトスクリプティングを始めとする既知の攻撃手法を実際に用いてセキュリティ脆弱性診断を行います。これにより、対象となるWebサイトの機密(重要)情報漏えい、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。 動的ページとはネットショッピング、資料請求、QAのようなエントリーフォームに代表される.jsp、.aspx、.phpなどで作成されたWebコンテンツの内容をWebアプリケーションで生成するページを指します。
セキュリティ診断サービス

Webサービスの動的ページに対し、外部から擬似攻撃!!

Webアプリケーション診断項目

  • スタンダード
    SQLインジェクションやクロスサイトスクリプティングなど特に代表的な攻撃手法を用いた診断サービスです。 既知の大半の攻撃事例を網羅します。

  • アドバンスド
    スタンダードでご提供するサービスに加え、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供いたします。サイバー攻撃のビジネスインパクトが特に大きいお客様にお薦めしています。

診断項目 診断概要スタンダードアドバンスド
SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査
クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査
クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査
OSコマンドインジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査
Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査
メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査
ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査
オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査
HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査
不適切な認証制御 認証前に認証後のページにアクセスできないかを検査
セッションIDが推測可能 セッションIDが容易に推測できないかを検査
セッションフィクセーション検査 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査
Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査
不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査
不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査
不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査
ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査
不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査
不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査
エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査
自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査
HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査
SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査
XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査
XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査
LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査
hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査
不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査
SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査
SSLの利用における問題 適切に通信が暗号化されてるかを検査
クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査
Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査

スマホWebAPI診断

モバイルアプリからサーバへ検証コードを送信することにより、「サーバ側アプリケーションの脆弱性」の有無をチェックします。
(※Androidのみの対応となります。 )診断例:ECサイト、会議室予約サイト、ログインの発生するサイト等

WebAPIとは?

一般的にはHTTPプロトコルによるアプリケーションとのインターフェースを指します。

当社のスマホアプリ診断では、スマホからの通信を受け取るWebアプリケーションを指しています。

※そもそもAPIとは、Application Programming Interfaceの略語でプログラミングをする際の規約、関数(メソッド)の集合等を指します。WebAPIとは「ネットワーク越しに利用できる関数でAPIにWebサービスを付与したもの」で「Webアプリケーションの情報を取得することができる仕組み」です。

webapi.png

スマホWebAPI診断項目

スマホWebAPIに対する診断は、Webアプリケーション診断(手動) アドバンスドと同じような内容の診断を実施します。

診断項目 診断概要
認証関連検査 認証機能を迂回して認証後のコンテンツにアクセスできてしまうといったような、認証の仕組みにかかわる問題がないかの検査を実施。
認可関連検査 本来アクセスできない他の利用者のデータにアクセスできてしまうといったような、アクセス権の仕組みにかかわる問題がないかの検査を実施。
通信関連検査 重要な情報を含む通信が適切に暗号化されてるかの検査や、証明書の信頼性を低下させる問題がないかという観点での検査を実施。
悪意あるパラメータ関連検査 サーバ上で悪意あるOSコマンドの実行ができないかを検査
Webコンテンツのディレクトリ一覧が閲覧可能 WebAPIを経由したデータベースの不正操作や、サーバ上で悪意あるOSコマンドが実行できてしまう問題のような攻撃への対策に問題がないかの検査を実施。
情報取得関連検査 デバッグ機能、スタックトレースによる有用な情報の取得や、ディレクトリ内のファイル一覧の取得といったような、情報漏えいにつながる問題がないかの検査を実施。
ロジック関連検査 上記項目に該当しない、診断対象固有の問題に対する検査を実施。

セキュリティ診断サービス価格

Webサービスの動的ページに対し、外部から擬似攻撃をいたします。1リクエスト毎に料金が異なります。

  • Webアプリケーション診断(手動)
    参考料金 1リクエスト(報告書を含む)¥240,000~
  • スマホWebAPI診断(※Androidのみの対応となります。)
    参考料金 1リクエスト(報告書を含む)¥250,000~

おまかせプラン

ご予算等に合わせてお客様に対象数を決定いただき、その数を上限に当社エンジニアが診断対象を選定し、診断を行うサービスです。 ご相談ください。

  • 予算は決まっているがどこを診断したいかわからない。
  • 診断したいリクエスト数は決まっているがどこを優先して調べたらよいかわからない。

リクエストとは

リクエストとは、ブラウザとWebサーバ間で発生した通信のことを指します。 一般的には、リンクやボタンを押下した際の画面遷移数がリクエスト数と同じ数になる傾向があります。

詳細はこちらをご参照ください。セキュリティ診断 リクエスト数の考え方

目次

ネットワーク診断(プラットフォーム診断)

  • 商用/フリー診断ツールや独自開発ツールと手動診断を組み合わせサーバやネットワーク機器のセキュリティ脆弱性を診断致します。複数の手法の組み合わせにより誤検知や検出漏れを効果的に防ぎ、500パターン以上のメール不正中継可否検査、不要サービスポートのオープン状況確認、ゾーン情報/バージョン情報読出しチェック、DoS耐性診断等、4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能となります。
ネットワーク診断

ネットワーク機器(サーバやルータなど)に対し、外部から擬似攻撃

ネットワーク診断(プラットフォーム診断)項目

診断項目診断方法診断概要
ホスト情報収集 ポートスキャン
[TCP/UDP]
開放ポート(稼動サービス)のスキャン
ping/traceroute応答 ネットワーク経由によるホストの応答確認
バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集
ネットワーク
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
TCP接続 TCPによるセッションの確立、telnet、SSH等の遠隔管理ポートへの接続確認
Webサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
TRACEリクエストの応答 Web検査用機能の確認、及び同機能による情報漏えいの検査
WebDAV接続検査 Webサーバの不必要なファイル共有機能における情報漏えいの検査
サンプルページ、
デフォルトページ検査
不必要と判断できるサンプルページ、デフォルトページの公開放置の検査
DNSサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
DNSサーバからの情報入手 ゾーン情報データベース(ホスト名とIPアドレスの関連付け情報一覧)の入手
Mailサーバ
脆弱性診断
スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査
メール不正中継診断 不正メールの踏み台、なりすましに対する危険性の検査
拡張メールコマンドの実行 不正なメールコマンドによるアカウント情報の入手

セキュリティ診断サービス価格

  • ネットワーク診断(プラットフォーム)
    ネットワーク機器(サーバやルータなど) に対し、外部から擬似攻撃 ¥250,000~
Page Top