セキュリティ診断サービスのご紹介

Size: px

Start display at page:

Download "セキュリティ診断サービスのご紹介"

あいりねごろ
7 years ago
Views:

1 セキュリティ診断サービス Security Diagnosis Service of Alpha Net Co., Ltd. 株式会社アルファネット Alpha Net Co., Ltd.

2 近年のサイバー攻撃の現状と被害状況順位セキュリティ 10 大脅威 2017 セキュリティ 10 大脅威標的型攻撃による情報流出標的型攻撃による情報流出 2 ランサムウェアによる被害ランサムウェアによる被害 3 ウェブサービスからの個人情報の窃取ビジネスメール詐欺 4 サービス妨害攻撃によるサービスの停止脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 5 内部不正による情報漏えいとそれに伴う業務停止セキュリティ人材の不足 6 ウェブサイトの改ざんウェブサービスからの個人情報の窃取 7 ウェブサービスへの不正ログイン IoT 機器の脆弱性の顕在化 8 IoT 機器の脆弱性の顕在化内部不正による情報漏えい 9 攻撃のビジネス化 ( アンダーグラウンドサービス ) 10 インターネットバンキングやクレジットカード情報の不正利用サービス妨害攻撃によるサービスの停止犯罪のビジネス化 ( アンダーグラウンドサービス ) 3

セキュリティ診断サービスのススメ御社のサイトが加害者になる可能性がありますセキュリティの専家による診断サービスを受けてみませんか Web サイトの改ざんされる要因は

ランサムウェア攻撃の侵入経路はユーザーが閲覧したWeb サイトから知らないうちにマルウェアをダウンロードしてしまうドライブバイダウンロードなどが発端になっています

Webアプリケーション診断サービス動的ページ診断/静的ページ診断 Webサービスへ外部から擬似攻撃を行い対象Webサイトの脆弱性を診断ネットワーク診断サービス

3 セキュリティ診断サービスのススメ御社のサイトが加害者になる可能性がありますセキュリティの専家による診断サービスを受けてみませんか Web サイトの改ざんされる要因はクロスサイトスクリプティングの脆弱性でスプリクトの注入を許すなどランラムウェアの配布サイトになりサイト訪問閲覧者に対して大きな被害を与えてしまう可能性がありますランサムウェア攻撃の侵入経路はユーザーが閲覧したWeb サイトから知らないうちにマルウェアをダウンロードしてしまうドライブバイダウンロードなどが発端になっています当社のセキュリティスペシャリストが実際にハッキングで使われる技術と同じ手法を用いお客様のWebサイトやネットワーク機器へ擬似攻撃を行いハッキング耐性を診断します Webアプリケーション診断サービス動的ページ診断/静的ページ診断 Webサービスへ外部から擬似攻撃を行い対象Webサイトの脆弱性を診断ネットワーク診断サービスネットワーク機器へ外部から擬似攻撃を行い対象機器の脆弱性を診断安心多数の診断項目で既知のあらゆる攻撃耐性を診断する安心のサービス高品質細部に渡る診断と精確さが特長の高品質なサービス分り易い分り易く取り纏めた診断報告書 5

Webアプリケーション診断サービス動的ページ診断約90 のWebサイトにセキュリティの脆弱性があるといわれています

動的Webアプリケーション診断サービス動的ページに潜む脆弱性を診断例登録ボタン等を押した際にサーバへの通信リクエストが発生

より細部までの診断を実施したい企業におすすめサービス手法手動スタンダード診断サービスアドバンスド診断サービス

4 Webアプリケーション診断サービス動的ページ診断約90 のWebサイトにセキュリティの脆弱性があるといわれています常に外部からの攻撃にさらされているWebサーバ攻撃を受けた企業は年々増発しています一度きちんとWebサイトのセキュリティ状態をチェックしてみませんか動的Webアプリケーション診断サービス動的ページに潜む脆弱性を診断例登録ボタン等を押した際にサーバへの通信リクエストが発生サイバー攻撃のビジネスインパクトが大きな動的サイトに対し細部までの診断を実施機密性が高いデータを扱うサイトの診断対象を絞りより細部までの診断を実施したい企業におすすめサービス手法手動スタンダード診断サービスアドバンスド診断サービス 1リクエストから60リクエスト規模のサイトにおすすめ膨大な動的ページを効率良く診断を実施したい企業様におすすめサービス手法ツール手動ハイブリッド診断サービス登録画面登録確認画面ＩＮＴＥＲＮＥＴ完了画面監査センター擬似攻撃ブラックボックステスト Webサーバで稼動するWebアプリケーション 6

5 Webアプリケーション診断サービス静的ページ診断静的Webアプリケーション診断サービス企業の顔であるコーポレートサイトの静的ページに対しての診断を実施静的ページの診断を実施したい企業様におすすめサービス手法ツール静的ページ診断サービス監査センター対象サイト INTERNET トップページ AppScanが遷移を辿り自動的に対象URLを収集企業情報所在地サービス情報提供サービスブログ 2016/4/ /4/ /4/30 記事 7

6 ネットワーク診断サービス IPv4/IPv6対応商用フリー診断ツールや独自開発ツールと手動診断を組み合わせサーバやネットワーク機器のセキュリティ脆弱性を診断致します複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ 500パターン以上のメール不正中継可否検査不要サービスポートのオープン状況確認ゾーン情報バージョン情報読出しチェック DoS耐性診断等 4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能となります商用診断ツール OS AP脆弱性フリー診断ツールサービス不能攻撃独自診断ツール不要サービスの起動 OSコマンドメール不正中継手動確認 DNSゾーン情報漏洩ＩＮＴＥＲＮＥＴ DMZ 擬似攻撃 Router ブラックボックステスト Firewall インターネット系サーバ群 Web mail DNS etc.) 監査センター社内LAN 内部サーバ群 (ファイルサーバイントラ etc.) 8

特長細部に渡る診断アルファネットのWebアプリケーション診断サービスは当社独自の診断手法により手動診断と最も信頼性の高いツールを用い SQLインジェクションやクロスサイトスクリプティングを始めとする脆弱性に対し既知の攻撃手法に加え新しい攻撃手法を用いたセキュリティ脆弱性診断を行いますこれにより対象となるWebサイトの機密重要情報漏洩なりすまし

7 特長細部に渡る診断アルファネットのWebアプリケーション診断サービスは当社独自の診断手法により手動診断と最も信頼性の高いツールを用い SQLインジェクションやクロスサイトスクリプティングを始めとする脆弱性に対し既知の攻撃手法に加え新しい攻撃手法を用いたセキュリティ脆弱性診断を行いますこれにより対象となるWebサイトの機密重要情報漏洩なりすましネットショップサイトの価格改ざんフィッシング等々の被害の危険性を洗い出すことができますまた手動による細やかな診断により特定条件下で発生する特殊な脆弱性も検知致します精確さアルファネットのネットワーク診断サービスは 1998年からの診断実績からのノウハウをもとに商用診断ツールフリー診断ツール独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり単一のツールや手法では誤認識や検出漏れが発生する場合がありますそこで当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止しさらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しております当社の精確な診断サービスはこういった企業努力により実現しております 9

8 特長アルファネットのセキュリティ診断サービスは診断後全ての検出項目について危険度別に仕分けを行いさらに一般的な対処方法の解説付きの報告書をご提出致します例えば脆弱性診断ツールを使えばすぐにツールが診断レポートを生成してくれます但しツールが発行するレポートは誤検知が含まれるケースが多くまた専門用語による難解なレポートとなります当社の診断報告書は全ての検出項目を専門技術者が精査した上で分り易く纏めご提出しております診断報告書サンプル 10

9 サービス詳細 Web アプリケーション診断サービス ( 手動 ) スタンダード IPA( 独立行政法人情報処理推進機構 ) が最低限必要としている Web アプリケーションの診断項目である Web 健康診断及び診断会社の多くが実施している診断項目を網羅している業界スタンダードと呼べる診断ですアドバンスドスタンダード診断に加え対象画面特有の脆弱性に対する診断項目を加えた細部までのチェックが可能な最上級レベルの診断です 11

10 サービス詳細診断項目一覧サービスレベル案項番 Web健康診断 IPA) 業界標準アルファネット指摘項目名 Web健康診断スタンダードアドバンスド 1 クロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティング 2 SQLインジェクション SQLインジェクション SQLインジェクション 3 クロスサイトリクエストフォージェリクロスサイトリクエストフォージェリクロスサイトリクエストフォージェリ推測可能なセッションID セッションIDの解析 URL埋め込みのセッションID クエリストリングによる情報漏えいセッションIDの固定化セッションフィクセーション 4 5 セッション管理の不備 6 7 意図しないリダイレクトオープンリダイレクタの脆弱性オープンリダイレクタ 8 HTTPヘッダインジェクション HTTPヘッダインジェクション HTTPヘッダインジェクション 9 メールヘッダインジェクションメールヘッダインジェクションメールヘッダインジェクション 10 パストラバーサルディレクトリトラバーサルディレクトリトラバーサル 11 ディレクトリリスティング意図しないファイル公開ディレクトリリスティング 12 OSコマンドインジェクション OSコマンドインジェクション OSコマンドインジェクション 13 認証認証不適切な認証制御 14 認可制御の不備欠落認可不適切な認可制御 15 クッキーの不適切な利用 Cookieの不適切な利用 16 クッキーのセキュア属性不備 Cookieのセキュア属性不備 17 ログアウト機能ログアウト機能の不備 18 ログインエラーメッセージ不適切なエラーメッセージ 19 パスワードの保存方法不適切なパスワード保存 20 エラーメッセージからの情報漏えいエラーメッセージからの情報漏えい 21 SSIインジェクションの脆弱性 22 XMLインジェクションの脆弱性 23 XPathインジェクションの脆弱性 24 LDAPインジェクションの脆弱性 25 Hiddenパラメータ改ざんによる不正な情報操作 26 不適切なhiddenパラメータの利用 27 自動送信メールの内容が改ざん可能 28 SSL証明書の問題 29 SSLを利用しない認証サイトの存在 30 クライアントサイドコメントによる情報漏洩 13

11 実施フロー手動診断サービス準備 1 診断対象システムの選定対象の遷移図準備お客様準備契約診断対象のリクエスト及び環境確認見積書作成ご契約準備 2 ヒヤリングシート記入診断環境準備関係各所への連絡お客様準備診断診断実施報告書作成報告報告書提出報告会の実施オプション 14

12 サービス詳細 Web アプリケーション診断サービス ( ツール + 手動 ) ハイブリッド診断サービス膨大な動的対象ページから必要最小限の診断対象の選定を実施致しますツールにより診断対象全体のスキャンを実施し脆弱性が検出された結果を診断員が確認する事で誤検知を防ぎますまたツールでは診断が出来ない箇所に対して手動 ( スタンダード ) で診断を実施致します 15

アルファネットからアクセス可能な検証環境をご用意頂く必要がありますツールの実行時間帯ツールの実行にあたり

13 サービス詳細サービス提供に必要な環境診断用の検証環境診断に際しては検証環境のご用意をお願い致します本番環境上の動的ページに対するツールの実行は稼働サービスの停止 DBの破壊等が考えられるため実施していませんアルファネットからアクセス可能な検証環境をご用意頂く必要がありますツールの実行時間帯ツールの実行にあたり効率化を図るためバッチファイルを利用します夜間時間帯についてもツールの実行可能な環境をご用意頂く必要があります 16

14 実施フローハイブリッド診断サービス準備 1 診断対象システムの選定対象の遷移図準備検証及びテスト環境準備お客様準備契約 1 選定サービス見積書作成ご契約準備 2 選定作業の実施選定レポートの作成契約 2 診断サービス見積書作成ご契約診断診断実施報告書作成報告報告書提出報告会の実施オプション 18

15 サービス詳細 Webアプリケーション診断サービスツール静的ページ診断サービス静的ページを対象に遷移を作成し自動的にツールが診断を実行高速且つ大規模な対象を診断可能です診断できる項目が多く診断のパフォーマンスが高い平均300画面程度/日の診断が可能 19

16 実施フローコーポレート診断サービス準備 1 診断対象ホームページの選定ヒヤリングシート作成診断用探査の準備 ( 関係各所へ連絡 ) お客様準備契約ホームページの探査見積書作成ご契約診断診断実施報告書作成報告報告書提出報告会の実施オプション 21

17 サービス詳細ネットワーク診断サービス商用診断ツールフリー診断ツール独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり単一のツールや手法では誤認識や検出漏れが発生する場合がありますそこで当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止しさらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しておりますまた弊社ネットワークサービスは IPv4環境 IPv6環境ともに診断可能となります診断項目一覧診断方法診断項目ツール名称ポートスキャン TCP/UDP) ホスト情報収集 ping/traceroute応答 Nmap Superscan 手動バナー情報の取得スキャンツールによる診断 DNSサーバ脆弱性診断スキャンツールによる診断 Nessus DNSサーバからの情報入手手動 Nessus TCP接続手動スキャンツールによる診断 Webサーバ脆弱性診断開放ポート稼動サービスのスキャンネットワーク経由によるホストの応答確認 Superscan OSコマンドネットワーク経由によるOSバージョンプロダクトバージョン等の情報収集ネットワーク脆弱性診断 Mailサーバ脆弱性診断診断概要 Nessus メール不正中継診断独自スクリプト拡張メールコマンドの実行 Nessus 手動バグに起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査 TCPによるセッション確立 telnet SSH等の遠隔管理ポート接続確認バグに起因する既知の脆弱性や設定ミス脆弱なパスワードの存在等を検査ゾーン情報データベースホスト名とIPアドレスの関連付け情報一覧の入手バグに起因する既知の脆弱性や設定ミス脆弱なパスワードの存在等を検査不正メールの踏み台なりすましに対する脆弱性の検査不正なメールコマンドによるアカウント情報の入手 TRACEリクエストの応答手動 Web検査用機能の確認及び同機能による情報漏えいの検査 WebDAV接続手動 Webサーバの不必要なファイル共有機能における情報漏えいの検査サンプルページデフォルトページ Nikto 他不必要と判断できるサンプルページデフォルトページの公開放置の検査 22

18 実施フローネットワーク診断サービス準備 1 診断対象 IP の選定お客様準備契約診断対象環境確認見積書作成ご契約準備 2 ヒヤリングシート作成診断環境準備関係各所への連絡お客様準備診断診断実施報告書作成報告報告会提出報告会の実施オプション 24

お問合せ先 1120004 東京都文京区後楽 153 後楽国際ビル TEL 0358004307

7F TEL 0647999760 FAX 0647999761 4600003 愛知県名古屋市中区錦

19 お問合せ先東京都文京区後楽 153 後楽国際ビル TEL FAX 大阪府大阪市福島区福島大阪 YM ビル 7F TEL FAX 愛知県名古屋市中区錦 3531 ジブラルタ生命名古屋錦ビル 9F TEL FAX

WEBシステムのセキュリティ技術

WEBシステムのセキュリティ技術 WEB システムのセキュリティ技術棚橋沙弥香目次今回は開発者が気をつけるべきセキュリティ対策として以下の内容についてまとめました SQLインジェクションクロスサイトスクリプティング OSコマンドインジェクションディレクトリトラバーサル HTTPヘッダインジェクションメールヘッダインジェクション SQL インジェクションとは 1 データベースと連動した Web サイトでデータベースへの問い合わせや操作を行うプログラムにパラメータとして