脆弱性診断サービスのご紹介 株式会社フォーカスシステムズ第 8.0 版平成 28 年 6 月 1 日
脆弱性診断サービスとは ( 診断の種類 ) 脆弱性診断サービスは 悪意のある攻撃者と同じ視点でお客様の Web アプリケーションおよびネットワークの診断を行うサービスです 脆弱性診断には その診断対象に応じた 2 種類サービスがあります 診断対象 Web Application Middle Ware Server OS Network Webアフ リケーション脆弱性診断 Web Application 診断項目例 SQL インジェクション クロスサイトスクリプティング セッションハイジャック Middle Ware 等 Server サーバ ネットワーク脆弱性診断 OS Network 診断項目例 ポートの開放確認 稼働サービス確認 SSL バージョン確認等 2
診断の方法と環境 脆弱性診断にはインターネット経由で実施するリモート診断と お客様の環境内で実施するオンサイト診断があります 外部公開エリア サーバ ネットワーク診断対象 Web アプリケーション診断対象 社内エリア オンサイト診断 お客様環境 リモート診断 Internet 本番環境 テスト環境 開発環境 報告書 京セラコミュニケーションシステム Focus Systems 3
脆弱性診断の概要 以下のサービスをご提供します Web アプリケーション診断対象サーバー上の Web アプリケーションに対してセキュリティ診断を実施します 動的ページに対して診断を実施します ( 通常の画面 1 ページが 1 画面ではありません ) ネットワーク診断ネットワーク機器 OS ミドルウェアに対してセキュリティ診断を実施します ペネトレーションテスト脆弱性診断結果を踏まえ 脆弱性に対する擬似攻撃 パスワード推測調査等を実施し エンジニアが手動でサーバへの侵入を試みます オプション サーバ ネットワーク ( ホスト ) 追加速報休日 夜間診断オンサイト診断ソースコード解析報告会再診断 サーバ ネットワーク診断対象 (IP) を追加します 緊急度の い high 相当は即 報告重大性の高い脆弱性が発見された場合 翌営業日の正午までに報告書にてご連絡します 平日 (10:00-18:00) 以外の診断も対応します お客様先 ( 現地 ) にて 診断を行います 診断後 発見した脆弱性に対して ソースコードレベルでの検証を行います エンジニアによる 総合評価 発見された脆弱性の内容 その対策案をご説明します 診断によって発見された脆弱性に対してのみ再度診断をします ( 対策実施の確認 ) 再診断の結果報告は メール添付による報告書の提出です 報告書 ( 納品物 : 報告書 診断明細 ) 報告書を Mail 添付による電子データ 及び 紙媒体にて納品いたします サポート報告書ご提出後 1 ヶ月間 E-Mail でお問い合わせいただけます ( 営業時間内 ) 4
脆弱性診断の内容 Web アプリケーション脆弱性診断 独自に開発されている Web アプリケーションはツール診断のみでは限界があります 未知の脆弱性を発見するためには 人の手による診断が不可欠です 手作業によるマニュアル診断を実施します ツールでは発見できない脆弱性を発見することができます 複数の脆弱性の組み合わせによる 総合的な危険度を判断します 具体的な悪用手順の発見が可能です 設計レベルの脆弱性の発見が可能 ツール診断を併用します 人的ミス ( 診断漏れ ) を防ぐ確認の目的で使用します 診断の効率 ( 網羅性 ) を上げます 診断対象に与える影響を考慮し 原則として商用環境へのツール診断の実施や 擬似攻撃 (DoS 攻撃やバッファオーバフロー攻撃等の実際の攻撃を試みる診断 ) は 実施しません 診断対象に負荷を与えない RFC に準拠した通信によりリスク ( 脆弱性 ) の有無を確認します 5
ご参考 :Web アプリケーション診断調査項目 検査区分 Webアプリケーション診断では以下の診断が行われます 調査項目マニュアルツール検査区分調査項目マニュアルツール サーバー設定 不要なメソッド / サービスの稼動 認証ユーザー認証処理 バナーチェック アカウントロック機能 1 プラットフォームの既知の脆弱性 ブルートフォース攻撃 ( 辞書攻撃 ) 耐性 1 - ディレクトリ リスティング アクセス権限 アプリケーション 強制ブラウジング アカウント 管理 権限昇格 エラー処理状況 情報管理 ロジック流出 パスワード使用状況 バックドア デバックオプションの存在 パラメータ 操作 HTTP ヘッダ インジェクション ファイル機能 ( アップロード ダウンロード ) メールヘッダ インジェクション クロスサイト リクエスト フォージェリー クロスサイト スクリプティング 通信キャッシュ制御 SQL インジェクション 通信の暗号化強度 OSコマンド インジェクション リファラ情報 パス トラバーサル セッション管理 モバイル固有の問題 3 セッション ID 使用状況 LDAP コマンド インジェクション Cookie 使用状況 その他パラメータ操作 ログアウト機能 その他クライアント アプリケーションに関する問題 2 ー アクセス制御機能 ( ゲートウェイに依存する問題 ) 携帯固有番号に依存する問題 ー ー クライアン 文字コードに依存する問題 ー ー ト側スクリ プト フルブラウザ許可状況ーー ーーその他 HTTP プロトコルに依存する問題 2 ー クライアント側コメント 1 診断環境で診断させていただく場合のみとなります 2 サイト構成に応じて実施の有無を決定します 3 モバイルサイトに対する診断をご要望時のみ実施いたします : 診断精度の高い項目 : 診断実施項目 : サイト構成に応じて実施する項目ー : 未実施項目 6
脆弱性診断の内容 ネットワーク脆弱性診断 各 OS やミドルウェアでは 既知の脆弱性 や 設定の不備 は各々共通しており 膨大な数が報告されていることから パターンマッチによるツール診断が効率 ( 網羅性 ) 精度とも適しています ツール診断を中心に実施します 開発元やセキュリティ研究機関等が調査し公表されている 既知の脆弱性 や 設定の不備 が存在するか否かを調査します 手作業によるマニュアル診断を実施します 誤検知の精査を実施し 報告書の制度を高めます 診断対象に与える影響を考慮し 原則として商用環境へのツール診断の実施や 擬似攻撃 (DoS 攻撃やバッファオーバフロー攻撃等の実際の攻撃を試みる診断 ) は 実施しません 診断対象に負荷を与えない RFC に準拠した通信によりリスク ( 脆弱性 ) の有無を確認します 7
ご参考 : ネットワーク診断調査項目 大分類 小分類 調査項目 大分類 小分類 調査項目 サービス稼動確認 TCP TCPポートスキャン 主要サービス診断 HTTP/HTTPS HTTPメソッド TCPサービススキャン サンプルファイル デフォルトファイル調査 UDP UDPポートスキャン ディレクトリリスニング UDPサービススキャン パストラバーサル サービスバージョン確認サービス全般 バナー情報収集 簡易クロスサイトスクリプティング 主要サービス診断 FTP FTP 匿名接続 HTTPアプリケーションマッピング FTPサービス脆弱性 WebDAV/FrontPage 脆弱性 SSH SSHプロトコルバージョン HTTP/HTTPSサービス脆弱性 SSH 簡易パスワード推測 SSLプロトコルバージョン 暗号化強度 SSHサービス脆弱性 SSLサーバ証明書 Telnet Telnet 簡易パスワード推測 POP POPサービス脆弱性 Telnetサービス脆弱性 NTP NTPサービス脆弱性 SMTP SMTP 不正中継 SNMP SNMP 簡易コミュニティ推測 SMTP 簡易アカウント SNMPサービス脆弱性 推測確認 (EXPN VRFY) SMTPサービス脆弱性 R 系 R 系認証 DNS DNS 再帰問い合わせ NetBIOS システム情報収集 (DNSキャッシュポイズニング) DNS 非再帰問い合わせ SMB/CIFS SMB/CIFSアカウント情報収集 (DNSキャッシュ調査) DNSゾーン転送 RPC RPC 情報収集 DNSサービス脆弱性 その他 不正プログラム トロイの木馬 Finger Fingerアカウント情報収集 バックドア オプション ( 擬似攻撃 ) DoS DoS 攻撃調査 バッファオーバーフロー バッファオーバーフロー攻撃調査 8
報告会の内容 報告会 ( オプション ) エンジニア同席のもと 以下の内容をご説明いたします 報告書提出後 1 ヶ月間 E-Mail による内容に関するお問い合わせが可能です 診断結果の説明 再現方法の説明 最新の脆弱性傾向を踏まえた注意点の説明 対策方法のアドバイス ( 営業時間内 ) 報告書の構成 項 目 内 容 1 エグゼクティブサマリー 総評 リスク 対策指針のまとめを記述します 2 診断結果 セキュリティランク サイト ( ホスト ) ごとの総合スコアを記述します 他社結果との比較 過去の診断実績に基づき算出したセキュリティランクの位置を記述します (Webアプリケーション) アプリケーション一覧 ホストごとに検出されたアプリケーションの一覧を記述します ( ネットワーク ) 脆弱性一覧 サイト ( ホスト ) ごとに検出された脆弱性の一覧を記述します 3 脆弱性詳細検出された脆弱性ごとに対策や検出例を記述します 4 診断概要診断対象の一覧等や診断項目等を記述します 9
報告書サンプル Web アプリケーション脆弱性診断 診断結果概要 ( 総合評価 セキュリティランク ) ホスト毎の検出結果 ( 総合評価 総合スコア ) 脆弱性の詳細情報 ( 説明 リスク 対処方法 ) 10
報告書サンプル Web アプリケーション脆弱性診断 診断明細は 開発者が修正を行いやすいよう マニュアル診断を実施した画面の構成や診断結果を記載したものとなります ツール診断対象画面は作成いたしません 診断明細 どの画面に対して診断を実施したか 直感的にわかるように画面キャプチャを添付 またどのような脆弱性があったか 印で記述します 画面が保持するフォーム情報やパラメータ情報を記載し パラメータレベルでの診断結果を記載します 11
報告書サンプル ネットワーク脆弱性診断 診断結果概要 ( 総合評価 セキュリティランク ) ホスト毎の検出結果 (OS アプリケーション / 脆弱性一覧 前回との差異 ) 脆弱性の詳細情報 ( 説明 リスク 対処方法 ) 12
脆弱性診断スケジュール 脆弱性診断は以下の流れでご提供いたします 関係者 当社 貴社 契約前プロセス 1. 対象 条件の確認 ( サイト調査 対象 IP 数確認 ) 2. お 積の提 3. リソース状況の確認 4. ご発注弊社 : リソース確保 事前準備 1. ヒアリングシート記 2. キックオフ ( 必要に応じて ) 3. 診断 アカウントの発 4. 開発環境準備バックアップの実施 5. サーバー管理者や業者への事前連絡 診断 ( リモート ) 1. 診断開始連絡 窓 ご担当者様へメール 2. 診断実施 セキュリティ製品 (FW や IDS/IPS) によっては診断を阻害する機能を有している場合がありますので 部解除をお願いいたします 3. 緊急連絡緊急度の い脆弱性は都度メールで窓 ご担当者様へ連絡 4. 診断終了連絡 窓 ご担当者様へメール 診断 ( オンサイト ) 1. 館準備 2. 診断機器の持ち込み設定 3. 診断実施 4. レポート作成 診断結果持ち出しのご許可を頂き弊社環境にてレポート作成 診断後 1. バックアップの復旧 2. 診断レポート作成 3. 報告会 4. 修正 再診断の検討 13
診断を実施する際のポイント 下記を決めていただくとより明確なご提案が可能です 診断の時期いつ実施するかを決めます ( 報告書の提出時期 ) 診断の対象 どのサイトまたは機器 (IP) を診断するかを決めます 診断の種類 Webアプリケーション診断 ネットワーク診断 診断の環境 本番環境 テスト 開発環境 診断の方法 リモート診断 オンサイト診断 診断の手段 マニュアル診断 ( 手動診断 ) ツール診断 ( 自動診断 ) 診断の項目 診断の対象詳細 事前のサイト調査で 必要な診断項目や 診断対象の詳細 (1 画面ごと ) を確定していきます 14
サービスの特徴 お客様の環境 ご要望に柔軟に対応したサービスを提供します Point1 アプリケーション開発 運用経験 情報システムのリスクの洗出しから 対策までトータルサービスのご提案が可能です エンジニアは開発経験者であり 脆弱性を見つけることを目的とするのではなく セキュアなWebサイト開発 運用を目指します Point2 お客様の環境 ご要望に柔軟に対応したサービス アウトソーシングの現場で培ったノウハウ及び実績をいかし ご要望に応じた柔軟なサービスをご提供いたします 携帯サイトの脆弱性診断サービス リエンジニアリングサービス 開発ガイドライン策定支援サービス セキュリティトレーニング 海外法人に対するリモート診断実績も豊富です 英語 中国語 韓国語等のレポート作成が可能です 15
お問い合わせ 株式会社フォーカスシステムズ IT イノベーション事業本部セキュアサービス室 E-mail : product@focus-s.com TEL : 03-5420-2470 URL : http://www.focus-s.com/ 16