ネットワーク構成をヒアリング
ネットワークの全体像を理解し、診断対象範囲をご決定頂いた上で必要な工数のお見積を行います。
-
ネットワーク診断実施方法の策定及びお見積り
インターネット経由で実施するリモートにて診断します。その後IP単位でのお見積りをお出しします。
ネットワーク診断(プラットフォーム診断)
Webサーバーやネットワーク機器等に潜む脆弱性を可視化します
診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。
攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。過負荷や診断による障害発生を避けることについても最大限配慮して診断作業を実施します。
※ネットワーク診断はサイトシールの配布対象サービスです。
ネットワーク診断(プラットフォーム診断)は
こんな方におすすめ
- サービスリリースに伴い、脆弱性診断を実施する必要がある
- 前回脆弱性診断を受けてから1年以上経過している
ネットワーク診断(プラットフォーム診断)の
4つの特長
01ツールに留まらず、手動診断も実施
開放されているポートや実行中のサービスを検出し、それらに潜む脆弱性を調査します。
ツールによる自動的な診断に留まらず、診断員による手動診断も実施することで精度の高い診断結果をご提供します。
02経験豊かなセキュリティ診断員が診断します
オンプレミスなインフラ環境に限らず、AWS、Azure、GCPなどのクラウドサービスを用いて構築されているインフラ環境にも対応可能です。
03緊急性の高い脆弱性が発見された場合、すぐにご連絡します
リスクレベル高以上の脆弱性については、発見した翌営業日以内に速報でご報告します。
04診断結果に基づいて、対策方法を提示します
診断作業完了後、報告書を作成しご提出します。報告書には脆弱性への対策や確認した際のログなど詳細に記載します。
ネットワーク診断(プラットフォーム診断)の
診断フロー
-
01
ネットワーク診断事前準備
-
02
ネットワーク(プラットフォーム)診断
ツールおよび手動でのネットワーク診断
一般的な脆弱性を診断した上で、攻撃者の視点に立つ手作業で診断を実施します。
-
ツールによる脆弱性診断
既知の脆弱性の確認や設定不備、単純なセキュリティ対策の漏れ等を検出します。 -
診断員による精査、手動診断
ツール診断の結果を手動により誤りがないか確認します。また、ツールでは検出できない脆弱性に関しても診断員の手で調査します。
-
-
03
診断報告レポート提出
診断実施結果報告
検出されたプラットフォームの脆弱性について詳細をご報告します。
-
総合評価
診断結果の概要および脆弱性が存在した場合はそれがビジネスに与えうる影響についてご報告します。また事業運営の観点から推奨される施策等についても提案させて頂きます。 -
脆弱性の詳細
発見した脆弱性の詳細や再現手順等をご報告します。それらによるリスクや推奨する対策方法についてもご説明します。
※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。
-
ネットワーク診断(プラットフォーム診断)の
診断項目
ホストのスキャン
| ポートスキャン | TCP全ポートに対するポートスキャンにより、ホストの応答を確認します。 |
|---|---|
| 実行中のサービスの検出 | ・バナー情報などからソフトウェアバージョンを検知します。 ・バージョンに存在する脆弱性を調査します。 |
ネットワークサービスの脆弱性
| DNSに関する調査 | ・再帰問い合わせの可否を確認します。 ・DNSゾーン転送の可否を確認します。 |
|---|---|
| メールサーバに関する調査 | ・メールサーバでの第三者中継の可否を確認します。 ・VRFYコマンド、EXPNコマンドの可否を確認します。 |
| FTPに関する調査 | Anonymousユーザの許可・権限を確認します。 |
| Windowsネットワークサービスに関する調査 | ・インターネット経由でのアクセス可否を確認します。 ・システム・ユーザ情報の取得可否を確認します。 ・バナー情報などからソフトウェアバージョンを検知します。 |
| SNMPに関する調査 | ・SNMPによるシステム情報の取得可否を確認します。 ・デフォルトコミュニティ名(public,private)による接続可否を確認します。 |
| SSHサーバに関する調査 | パスワード認証が許可されていないか確認します。 |
| データベースサーバに関する調査 | インターネット経由でのアクセス可否を確認します。 |
SSL/TLSの脆弱性
| SSL/TLSプロトコルの調査 | 検出された全てのソフトウェアにおいて、脆弱性が存在する SSL / TLS プロトコルをサポートしていないか診断します。 |
|---|---|
| SSL/TLS暗号スイートの調査 | 検出された全てのソフトウェアにおいて、強度等に問題のある暗号化方式のサポートを確認します。 |
認証に関わる脆弱性
| 認証情報の平文での送信に関する調査 | 検出された機器、およびソフトウェアにおいて認証情報が平文で送信されていないかを確認します。 |
|---|
各種OSの脆弱性
| Windowsの既知の脆弱性 | バージョン・得られたシステム情報より、未適用パッチを特定します。 |
|---|---|
| その他各種OSの既知の脆弱性 | バージョン情報より既知の脆弱性を特定します。 |
悪意あるソフトウェア
| バックドアの調査 | バックドアの可能性が高い、非標準ポートで動作しているサービスを確認します。 |
|---|---|
| P2Pソフトウェアの調査 | P2Pソフトウェアが動作していないか確認します。 |
ネットワーク機器の脆弱性
| 各種ネットワーク機器の既知の脆弱性 | 機器が特定できた場合、既知の脆弱性を確認します。 |
|---|
「情報セキュリティサービス基準適合サービスリスト」登録済
当社のネットワーク診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20
019-0004-20
ネットワーク診断(プラットフォーム診断)に関する
よくある質問
- QOWASP TOP10には対応していますか?
- Aお客様の要望がある場合は対応させていただきます。
- Q診断対象の優先順位づけと絞り込みはできますか?
- A基本的にはお客様に優先順位をつけていただいております。ご提案が必要な場合は、弊社にてご相談に応じます。
