セキュリティ診断サービスのご紹介

Similar documents
WEBシステムのセキュリティ技術

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

SHODANを悪用した攻撃に備えて-制御システム編-

— intra-martで運用する場合のセキュリティの考え方    

これだけは知ってほしいVoIPセキュリティの基礎

SiteLock操作マニュアル

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

PowerPoint プレゼンテーション


OP2

中小企業向け サイバーセキュリティ対策の極意

Webアプリケーションを守るための対策

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

Microsoft Word - XOOPS インストールマニュアルv12.doc

IWBAddーOn_Service_セキュリティーホワイトペーパー_V1.0

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

McAfee Application Control ご紹介

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

中小企業のための Security by Design WG 活動紹介 NPO 日本ネットワークセキュリティ協会西日本支部株式会社インターネットイニシアティブ大室光正

製品概要

スライド 1

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

PowerPoint Presentation

目次 はじめに... 1 本書の対象読者... 1 注意事項 オフィス機器とサーバー機能 オフィス機器のサーバー機能 オフィス機器の問題と脅威 インターネット接続機器検索サービス SHODAN SHODAN

Microsoft PowerPoint ラック 村上様.ppt

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

サイバー攻撃の現状

< はじめに > 推奨環境インターネット伝送サービスをご利用いただくための推奨環境は以下の通りです OS ブラウザソフト Microsoft Windows Vista Microsoft Internet Explorer 8 Microsoft Windows 7(32bit/64bit) Mi

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Office 365/G Suiteご利用時の構成例

情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

. はじめに 動作環境の全ブラウザで 本書の設定を行ってください 本設定を行わない場合 システムが 正常に動作しない可能性がありますので 必ず設定をお願いいたします また 本書の中で 画 像に番号を付与している箇所以外の設定は お使いの環境のままでご使用ください 参考 : 動作環境の全ブラウザについ

. はじめに はじめに みなと外国為替 WEBをご利用いただくにあたり ブラウザ ( インターネットに接続するソフト ) の設定作業は原則不要ですが お客さまのご利用環境によっては ブラウザの設定が必要となる場合があります お客さまの状況にあわせて手順をご確認ください ブラウザの設定を行う前にお客さ

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

- 目次 - ページ数 1. お客様管理者用コントロールパネル (SCP) について P.2 2. 管理者用コントロールパネル (SCP) にアクセスする P.3 3. メールマネージャーについて P.5 4. FTP マネージャーについて P サイト統計情報 (Urchin) について

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

OmniTrust

新環境への移行手順書

Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]

アルファメールプレミア 移行設定の手引き

スライド 1

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

なぜIDSIPSは必要なのか?(v1.1).ppt

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_

メールデータ移行手順

Transcription:

セキュリティ診断サービス Security Diagnosis Service of Alpha Net Co., Ltd. https://www.anet.co.jp/security/d001.html 株式会社アルファネット Alpha Net Co., Ltd. http://www.anet.co.jp/

近年のサイバー攻撃の現状と被害状況 順位セキュリティ 10 大脅威 2017 セキュリティ 10 大脅威 2018 1 標的型攻撃による情報流出標的型攻撃による情報流出 2 ランサムウェアによる被害ランサムウェアによる被害 3 ウェブサービスからの個人情報の窃取ビジネスメール詐欺 4 サービス妨害攻撃によるサービスの停止 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 5 内部不正による情報漏えいとそれに伴う業務停止セキュリティ人材の不足 6 ウェブサイトの改ざんウェブサービスからの個人情報の窃取 7 ウェブサービスへの不正ログイン IoT 機器の脆弱性の顕在化 8 IoT 機器の脆弱性の顕在化内部不正による情報漏えい 9 攻撃のビジネス化 ( アンダーグラウンドサービス ) 10 インターネットバンキングやクレジットカード情報の不正利用 サービス妨害攻撃によるサービスの停止 犯罪のビジネス化 ( アンダーグラウンドサービス ) 3

セキュリティ診断サービスのススメ 御社のサイトが加害者になる可能性があります セキュリティの専 家による診断サービスを受けてみませんか Web サイトの改ざんされる要因は クロスサイトスクリプティングの脆弱性でスプリクトの注入を許すなど ランラムウェアの配布サイトになり サイト訪問閲覧者に対して大きな被害を与えてしまう可能性があります ランサムウェア攻撃の侵入経路は ユーザーが閲覧したWeb サイトから知らないうちにマルウェアをダウンロード してしまう ドライブバイダウンロード などが発端になっています 当社のセキュリティスペシャリストが 実際にハッキングで使われる技術と同じ手法を用い お客様のWebサイトやネットワーク機器へ擬似攻撃を行い ハッキング耐性を診断します Webアプリケーション診断サービス 動的ページ診断/静的ページ診断 Webサービスへ外部から擬似攻撃を行い 対象Webサイトの脆弱性を診断 ネットワーク診断サービス ネットワーク機器へ外部から擬似攻撃を行い 対象機器の脆弱性を診断 安心 多数の診断項目で既知のあらゆる攻撃耐性を診断する安心のサービス 高品質 細部に渡る診断と精確さが特長の高品質なサービス 分り易い 分り易く取り纏めた診断報告書 5

Webアプリケーション診断サービス 動的ページ診断 約90 のWebサイトにセキュリティの脆弱性があるといわれています 常に外部からの攻撃にさらされているWebサーバ 攻撃を受けた企業は年々増発しています 一度きちんとWebサイトのセキュリティ状態をチェックしてみませんか 動的Webアプリケーション診断サービス 動的ページに潜む脆弱性を診断 例 登録ボタン等を押した際にサーバへの通信 リクエスト が発生 サイバー攻撃のビジネスインパクトが大きな動的サイトに対し細部までの診断を実施 機密性が高いデータを扱うサイトの診断対象を絞り より細部までの診断を実施したい企業におすすめ サービス手法 手動 スタンダード診断サービス アドバンスド診断サービス 1リクエストから60リクエスト規模のサイトにおすすめ 膨大な動的ページを効率良く診断を実施したい企業様におすすめ サービス手法 ツール 手動 ハイブリッド診断サービス 登録画面 登録確認画面 INTERNET 完了画面 監査センター 擬似攻撃 ブラックボックステスト Webサーバで稼動するWebアプリケーション 6

Webアプリケーション診断サービス 静的ページ診断 静的Webアプリケーション診断サービス 企業の顔であるコーポレートサイトの静的ページに対しての診断を実施 静的ページの診断を実施したい企業様におすすめ サービス手法 ツール 静的ページ診断サービス 監査センター 対象サイト INTERNET トップページ AppScanが遷移を辿り 自動的に対象URLを収集 企業情報 所在地 サービス情報 提供 サービス ブログ 2016/4/28 2016/4/29 2016/4/30 記事 7

ネットワーク診断サービス IPv4/IPv6対応 商用 フリー診断ツールや独自開発ツールと手動診断を組み合わせ サーバやネットワーク機器のセキュリティ脆弱性を診断致します 複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ 500パターン以上のメール不正中継可否検査 不要サービスポートのオープン状況確認 ゾーン情報 バージョン情報読出しチェック DoS耐性診断等 4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能 となります 商用診断ツール OS AP脆弱性 フリー診断ツール サービス不能攻撃 独自診断ツール 不要サービスの起動 OSコマンド メール不正中継 手動確認 DNSゾーン情報漏洩 INTERNET DMZ 擬似攻撃 Router ブラックボックステスト Firewall インターネット系サーバ群 Web mail DNS etc.) 監査センター 社内LAN 内部サーバ群 (ファイルサーバ イントラ etc.) 8

特長 細部に渡る診断 アルファネットのWebアプリケーション診断サービスは 当社独自の診断手法により 手動診断と最も信頼性の高いツールを用い SQLインジェクションやクロスサイトスクリプティングを 始めとする脆弱性に対し既知の攻撃手法に加え 新しい攻撃手法を用いたセキュリティ脆弱性診断を 行います これにより 対象となるWebサイトの機密 重要 情報漏洩 なりすまし ネットショップサイトの価格改ざん フィッシング等々の被害の危険性を洗い出すことができます また手動による細やかな診断により 特定条件下で発生する特殊な脆弱性も検知致します 精確さ アルファネットのネットワーク診断サービスは 1998年からの診断実績からのノウハウをもとに 商用診断ツール フリー診断ツール 独自開発ツールさらに手動診断といった多数のツール及び手法を 組み合わせております 脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手が あり 単一のツールや手法では誤認識や検出漏れが発生する場合があります そこで 当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを 防止し さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ 報告しております 当社の精確な診断サービスは こういった企業努力により実現 しております 9

特長 アルファネットのセキュリティ診断サービスは 診断後全ての検出項目について危険度別に仕分けを行い さらに 一般的な対処方法の解説付きの報告書をご提出致します 例えば脆弱性診断ツールを使えば すぐにツールが診断 レポートを生成してくれます 但し ツールが発行するレポートは誤検知が含まれるケースが多く また専門用語 による難解なレポートとなります 当社の診断報告書は 全ての検出項目を専門技術者が精査した上で分り易く纏 めご提出しております 診断報告書サンプル 10

サービス詳細 Web アプリケーション診断サービス ( 手動 ) スタンダード IPA( 独立行政法人情報処理推進機構 ) が最低限必要としている Web アプリケーションの診断項目である Web 健康診断及び診断会社の多くが実施している診断項目を網羅している業界スタンダードと呼べる診断です アドバンスド スタンダード診断に加え対象画面特有の脆弱性に対する診断項目を加えた細部までのチェックが可能な最上級レベルの診断です 11

サービス詳細 診断項目一覧 サービスレベル案 項番 Web健康診断 IPA) 業界標準 アルファネット指摘項目名 Web健康診断 スタンダード アドバンスド 1 クロスサイトスクリプティング クロスサイトスクリプティング クロスサイトスクリプティング 2 SQLインジェクション SQLインジェクション SQLインジェクション 3 クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリ 推測可能なセッションID セッションIDの解析 URL埋め込みのセッションID クエリストリングによる情報漏えい セッションIDの固定化 セッションフィクセーション 4 5 セッション管理の不備 6 7 意図しないリダイレクト オープンリダイレクタの脆弱性 オープンリダイレクタ 8 HTTPヘッダインジェクション HTTPヘッダインジェクション HTTPヘッダインジェクション 9 メールヘッダインジェクション メールヘッダインジェクション メールヘッダインジェクション 10 パストラバーサル ディレクトリトラバーサル ディレクトリトラバーサル 11 ディレクトリ リスティング 意図しないファイル公開 ディレクトリリスティング 12 OSコマンドインジェクション OSコマンドインジェクション OSコマンドインジェクション 13 認証 認証 不適切な認証制御 14 認可制御の不備 欠落 認可 不適切な認可制御 15 クッキーの不適切な利用 Cookieの不適切な利用 16 クッキーのセキュア属性不備 Cookieのセキュア属性不備 17 ログアウト機能 ログアウト機能の不備 18 ログインエラーメッセージ 不適切なエラーメッセージ 19 パスワードの保存方法 不適切なパスワード保存 20 エラーメッセージからの情報漏えい エラーメッセージからの情報漏えい 21 SSIインジェクションの脆弱性 22 XMLインジェクションの脆弱性 23 XPathインジェクションの脆弱性 24 LDAPインジェクションの脆弱性 25 Hiddenパラメータ改ざんによる不正な情報操作 26 不適切なhiddenパラメータの利用 27 自動送信メールの内容が改ざん可能 28 SSL証明書の問題 29 SSLを利用しない認証サイトの存在 30 クライアントサイドコメントによる情報漏洩 13

実施フロー手動診断サービス 準備 1 診断対象システムの選定 対象の遷移図準備 お客様準備 契約 診断対象のリクエスト及び環境確認 見積書作成 ご契約 準備 2 ヒヤリングシート記入 診断環境準備 関係各所への連絡 お客様準備 診断 診断実施 報告書作成 報告 報告書提出 報告会の実施 オプション 14

サービス詳細 Web アプリケーション診断サービス ( ツール + 手動 ) ハイブリッド診断サービス 膨大な動的対象ページから必要最小限の診断対象の選定を実施致します ツールにより診断対象全体のスキャンを実施し 脆弱性が検出された結果を診断員が確認する事で誤検知を防ぎます またツールでは診断が出来ない箇所に対して手動 ( スタンダード ) で診断を実施致します 15

サービス詳細 サービス提供に必要な環境 診断用の検証環境 診断に際しては 検証環境のご用意をお願い致します 本番環境上の動的ページに対するツールの実行は 稼働サービスの停止 DBの破壊等が考えられるため実施していません アルファネットからアクセス可能な検証環境をご用意頂く必要があります ツールの実行時間帯 ツールの実行にあたり 効率化を図るためバッチファイルを利用します 夜間時間帯についても ツールの実行可能な環境をご用意頂く必要が あります 16

実施フローハイブリッド診断サービス 準備 1 診断対象システムの選定 対象の遷移図準備 検証及びテスト環境準備 お客様準備 契約 1 選定サービス見積書作成 ご契約 準備 2 選定作業の実施 選定レポートの作成 契約 2 診断サービス見積書作成 ご契約 診断 診断実施 報告書作成 報告 報告書提出 報告会の実施 オプション 18

サービス詳細 Webアプリケーション診断サービス ツール 静的ページ診断サービス 静的ページを対象に遷移を作成し自動的にツールが診断を実行 高速且つ大規模な対象を診断可能です 診断できる項目が多く診断のパフォーマンスが高い 平均300画面程度/日の診断が可能 19

実施フローコーポレート診断サービス 準備 1 診断対象ホームページの選定 ヒヤリングシート作成 診断用探査の準備 ( 関係各所へ連絡 ) お客様準備 契約 ホームページの探査 見積書作成 ご契約 診断 診断実施 報告書作成 報告 報告書提出 報告会の実施 オプション 21

サービス詳細 ネットワーク診断サービス 商用診断ツール フリー診断ツール 独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わ せております 脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり 単一のツールや手 法では誤認識や検出漏れが発生する場合があります そこで 当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止し さらにツールの検出 結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しております また 弊社ネットワークサービスは IPv4環境 IPv6環境 ともに診断可能となります 診断項目一覧 診断方法 診断項目 ツール名称 ポートスキャン TCP/UDP) ホスト情報収集 ping/traceroute応答 Nmap Superscan 手動 バナー情報の取得 スキャンツールによる診断 DNSサーバ 脆弱性診断 スキャンツールによる診断 Nessus DNSサーバからの情報入手 手動 Nessus TCP接続 手動 スキャンツールによる診断 Webサーバ 脆弱性診断 開放ポート 稼動サービス のスキャン ネットワーク経由によるホストの応答確認 Superscan OSコマンド ネットワーク経由によるOSバージョン プロダクトバージョン等の情報収集 ネットワーク 脆弱性診断 Mailサーバ 脆弱性診断 診断概要 Nessus メール不正中継診断 独自スクリプト 拡張メールコマンドの実行 Nessus 手動 バグに起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査 TCPによるセッション確立 telnet SSH等の遠隔管理ポート接続確認 バグに起因する既知の脆弱性や設定ミス 脆弱なパスワードの存在等を検査 ゾーン情報データベース ホスト名とIPアドレスの関連付け情報一覧 の入手 バグに起因する既知の脆弱性や設定ミス 脆弱なパスワードの存在等を検査 不正メールの踏み台 なりすましに対する脆弱性の検査 不正なメールコマンドによるアカウント情報の入手 TRACEリクエストの応答 手動 Web検査用機能の確認 及び同機能による情報漏えいの検査 WebDAV接続 手動 Webサーバの不必要なファイル共有機能における情報漏えいの検査 サンプルページ デフォルトページ Nikto 他 不必要と判断できるサンプルページ デフォルトページの公開放置の検査 22

実施フローネットワーク診断サービス 準備 1 診断対象 IP の選定 お客様準備 契約 診断対象環境確認 見積書作成 ご契約 準備 2 ヒヤリングシート作成 診断環境準備 関係各所への連絡 お客様準備 診断 診断実施 報告書作成 報告 報告会提出 報告会の実施 オプション 24

お問合せ先 1120004 東京都文京区後楽 153 後楽国際ビル TEL 0358004307 FAX 0358004367 5500003 大阪府大阪市福島区福島 71526 大阪 YM ビル 7F TEL 0647999760 FAX 0647999761 4600003 愛知県名古屋市中区錦 3531 ジブラルタ生命名古屋錦ビル 9F TEL 0529556841 FAX 0529556843 26

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック