Vulnerability Diagnosis 脆弱性診断

サイバー攻撃の標的となるアプリケーションの構造上の欠陥（バグ）や、サーバー・OS・機器などに由来する悪用可能な脆弱性を事前に把握し、対策を講じるためのセキュリティ診断を提供します。

プラットフォーム診断

• お客様のネットワーク上に配置してあるサーバやネットワーク機器、近年増えつつあるIoT機器などに潜在する脆弱性の有無を調査(※1)します。
• サーバや各機器のOSやミドルウェアが診断の対象となります。
• ツールと手動オペレーションにより精度の高い診断を実施します。
• 実際のハッカーと同じ視点で診断を実施します。(ブラックボックス方式(※2))
• 検出した脆弱性の内容と対策方法を報告書にまとめ報告します。

※1インターネット経由のリモート診断と内部ネットワークからのオンサイト診断があります。
※2 診断対象のIPアドレスのみを情報とし、診断対象の詳細な情報がない状態で実施するテスト方式です。

診断項目	説明
OSの脆弱性のチェック	OSのバージョン情報などから既知の脆弱性の有無を確認します。
ミドルウェアの脆弱性のチェック	ミドルウェアのバージョン情報などから既知の脆弱性の有無を確認します。
その他製品(アプリケーション)の脆弱性のチェック(※3)	その他、ホスト上で稼働が確認された製品のバージョン情報などから既知の脆弱性の有無を確認します。
推測が容易なパスワードのチェック	ID・パスワードを伴う認証サービスが確認された場合、安易なパスワードが設定されていないか確認します。
脆弱な通信暗号方式のチェック	暗号を使用した通信(SSL/TLS)方式が脆弱な方式で使用可能な状態でないか確認します。
第三者中継メールのチェック	メールサービスが確認された場合、貴社メールサービスがスパムメールの踏み台にならないか確認します。
Webサーバにおける設定不備のチェック	Webサービスが確認された場合、本来公開すべきではないコンテンツ、ファイルなどが公開されていないか確認します。

※3 お客様で作成されたアプリケーション(Webアプリケーションなど)は対象外となります。

WEBアプリケーション診断

• お客様が保有しているWebアプリケーションに潜在する脆弱性の有無を調査(※4)します。
• Webサーバ上で稼働しているWebアプリケーションが診断の対象となります。
• ツールと手動オペレーションにより精度の高い診断を実施します。
• 実際のハッカーと同じ視点で診断を実施します。(ブラックボックス方式(※5))
• 検出した脆弱性の内容と対策方法を報告書にまとめ報告します。

※4 インターネット経由のリモート診断と内部ネットワークからのオンサイト診断があります。
※5 診断対象のURLのみを情報とし、診断対象の詳細な情報がない状態で実施するテスト方式です。

診断項目	説明
SQLインジェクション	不正なデータベース操作文(SQL)をWebアプリケーションに送信することで、Webアプリケーションにおけるデータベース処理の不備を診断します。
クロスサイトスクリプティング	不正なデータをWebアプリケーションに送信し、Webコンテンツに不正なプログラム(スクリプト)を埋め込むことができるか否かを診断します。
セッション管理の不備	Webアプリケーションにおいて、ユーザ本人を同定する方法であるセッション管理が適切に行われているか否かを診断します。
クロスサイトリクエストフォージェリ	正規ユーザが意図しない正規ルート以外からの更新処理をWebアプリケーションが受けつかるか否かを診断します。
OSコマンドインジェクション	不正な操作によりサーバ上でOSコマンドを実行されてしまう脆弱性の有無を診断します。
ディレクトリトラバーサル	不正なファイルパスをWebアプリケーションに送信し、本来アクセスができないファイルにアクセスできるか否かを診断します。
MXインジェクション	不正なメール送信プロトコル(SMTP)をWebアプリケーションに送信することで、Webアプリケーションにおけるメール送信処理の不備を診断します。

実施ステップ

※1 高リスクの脆弱性を検出後は1～3営業日以内に速報を提出します。
※2 要望があればセキュリティエンジニアによる報告会を実施します。

報告書イメージ

情報セキュリティサービス基準に準拠

■脆弱性診断は情報セキュリティサービス基準適合サービスです
脆弱性診断は、経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスとして「情報セキュリティサービス基準適合サービスリスト」に登録されています。