Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]

Similar documents
Microsoft PowerPoint - ASVプログラムガイド解説 [互換モード]

SiteLock操作マニュアル

PowerPoint Presentation

スライド 1

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

なぜIDSIPSは必要なのか?(v1.1).ppt

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

Sample 5

Presentation Title

セクション 1: 評価情報 提出に関する指示 加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要があります この文書のすべてのセクションの記入を完了します 加盟店は 該当する場合 各セクションが

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint プレゼンテーション

概要 早急に移行することをお勧めします 20 年以上にわたって一般的な暗号化プロトコルとして普及してきた Secure Sockets Layer(SSL) は セキュリティ脆弱性にさらされているとはいえ 現在でも広く利用されています SSL v3.0 は 1999 年に TLS v1.0 に更新さ

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価の準拠証明書 加盟店 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし このテキストと

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

ASVの役割と定期的なテスト

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価 - サービスプロバイダ準拠証明書 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし

スライド 1

OP2

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

Typhoon Manual_Hardware_j

— intra-martで運用する場合のセキュリティの考え方    



オプションサービス 共用サーバ (V4 ベーシックプラン SSL セットプラン ) オプション名単位初期料金 ( 税別 ) 月額料金 ( 税別 ) 最低契約期間 *1 ( 属性型 JP ドメイン名 )*2 (gtld ドメイン名 )*2 (GeoTLD ドメイン名 )*2 ( 汎用 JP ドメイン名

PowerPoint プレゼンテーション

改訂履歴 改訂日 バージョン 作成者 2014/1/1 Ver VALTES 初版作成 改訂内容及び理由

PCIDSS セキュリティフォーラム 2013 コストを抑えた PCIDSS ソリューション 脆弱性診断 +WAF 2013 年 7 月 10 日京セラコミュニケーションシステム株式会社セキュリティ事業部佐藤宏昭

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

Template Word Document

2018 年 3Q(7 月 ~9 月 ) の導入企業への攻撃状況は Blacklisted user agent の攻撃が多く確認され 全体の約 60% の割合を占めており 3 ヶ月で 13,098,070 件が検知されています また 無作為に既知の脆弱性を試行する WEB アタック や 攻撃可能な

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

76 1 2

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

スライド 1

metis ami サービス仕様書

スライド 1

スライド 1

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

ネットワークトラフィック分析を効果的に活用してパワー強化 ネットワークトラフィック分析 7 つの活用法

CCM (Cloud Control Matrix) の役割と使い方

IBM Presentations: Smart Planet Template

PowerPoint プレゼンテーション

スライド 1

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

スライド 1

QualysGuard(R) Release Notes

クラウド時代のロードバランサ

各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

PowerPoint プレゼンテーション

スライド 1

PowerPoint プレゼンテーション

スライド 1

<4D F736F F D B382C892CA904D91CE8DF48B40945C82C58C9F926D82B382EA82E992CA904D93E C982C282A282C42E646F63>

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

PowerPoint プレゼンテーション

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

ライフサイクル管理 Systemwalker Centric Manager カタログ

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

MailArchiva MailArchiva パブリックイメージ for NIFTYCloud 初期設定マニュアル メールアーカイブのための基本設定マニュアル 第 1.0 版 2011 年 8 月 22 日有限会社ディアイピィ

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

PowerPoint Presentation

PowerPoint Presentation

プレゼンテーション

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

DTD Reference Guide

プロキシ・ファイアウォール       通信許可対象サーバリスト

ZJTM ADSelfService Plus をインターネットで 安全に利用するためのガイド 1

PowerPoint プレゼンテーション

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

<31315F985F95B62D899C8CA98E8182D982A92E696E6464>

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

自己紹介 名前 : 一ノ瀬太樹 所属 : HASH コンサルティング株式会社 OWASP Japan プロモーションチーム OWASP ZAP ユーザーグループ脆弱性診断研究会 ( 管理者その 3) Perl 入学式 ( サポーター ) HASH Consult

概要 ファイアウォールは第一に外部からの攻撃に対する防御策であると同時に ユーザーを外部に接続する役割を果たします ファイアウォールでセキュリティ機能を有効にすることでパフォーマンスが大幅に低下するようなことがあってはなりません すべてのネットワークベンダーは実現可能な最大スループットの値をカタログ

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

SHODANを悪用した攻撃に備えて-制御システム編-

- 目次 - ページ数 1. お客様管理者用コントロールパネル (SCP) について P.2 2. 管理者用コントロールパネル (SCP) にアクセスする P.3 3. メールマネージャーについて P.5 4. FTP マネージャーについて P サイト統計情報 (Urchin) について

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

SOC Report

SOCの役割と人材のスキル

How to Use the PowerPoint Template

Microsoft PowerPoint - PCIDSS説明 版.pptx

R80.10_FireWall_Config_Guide_Rev1

新環境への移行手順書

更新履歴 Document No. Date Comments 次 D JP 2017/05/01 初版 1. 概要 はじめに 情報源 A10 Lightning Application Delivery Service(ADS) 導 構成 動作概要 構築概要 2. 事

1.indd

Automation for Everyone <デモ で実感できる、組織全体で活用できるAnsible Tower>

Symantec Enterprise Vault.cloudチラシ

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

SOC Report

サイバートラスト WAF Plus サポートサービス仕様書

Transcription:

JCDSC ベンダー部会 ASV 検査サービス バルネラ アセッサーご紹介 2012 年 1 月 26 日 ( 木 ) ControlCase,LLC 日本オフィス システム株式会社 Copyright 2012 Nippon Office Systems LTD. P-1

ControlCase 社の PCIDSS 認証と各種検査サービス PCIDSS, PA-DSS 認証監査 ASV スキャン検査 PCIDSS, PA-DSS ギャップ分析 ペネトレーションテスト アプリケーションレビュー (OWASP テスト ) コードレビュー ベンダー管理 外部 内部脆弱性検査 ファイアウォール検査 データ管理サービス ユーザーアクセス監視 本社 /Virginia,USA Copyright 2012 Nippon Office Systems LTD. P-2

NOS の PCIDSS サービス構成図 スキャンツール認定ベンダー 内部 外部 N/W 診断 内部 外部ヘ ネトレーションテスト OWASP テスト ASV ControlCase スキャンツールの認定 NOS コンサルティングとセキュリティ支援 1 事前調査 PCI DSS 国際協議会 PCI SSC 監査員資格の認定 本社 : バージニア ( 米 ) 支社 : ムンバイ ( 印 ) 2 本監査 QSA ControlCase 米国またはインドから出張 ( 審査員 12 人在籍 ) スキャン検査の必要な 事業者様 自己問診とスキャン検査 訪問審査の必要な 大手事業者様 スキャン検査と訪問監査 Copyright 2012 Nippon Office Systems LTD. P-3

バルネラ アセッサーの概要 ASV 認定 4250-01-04/ControlCase GRC (Governance Risk Management) 日本国内は バルネラ アセッサー として 日本オフィス システムが提供 特徴 訪問監査の豊富な経験が生かされた ASV スキャンサービス 米国を中心に 世界で 120 社以上の PCIDSS 訪問監査実績をもつ ControlCase 社が開発したスキャンサービスです PCI 監査とセットで 採用いただくケースが多く 監査顧客の約 3 分の 1 40 社が採用 QSA スタッフが結果分析して 監査のデータに役立てることを目的に 経験が蓄積されてきたため 日々進歩するハッキングの手口を研究し PCI 監査 のノウハウでチェックポイントを改善しています Copyright 2012 Nippon Office Systems LTD. P-4

お申込みから検査の流れ 検査時間帯は 平日 12~19 時 ( インド ムンバイからスキャン ) スキャンする CC 社側の指定 IP が IPS/IDS を通過できるよう設定いただきます 負荷は少ないので お客様システム稼働中でも問題ありません 脆弱性改善への各種ソリューション提案をセット 結果レポート ( 英語版 ) は検査後即日 日本語解説は 2~3 日後 Copyright 2012 Nippon Office Systems LTD. P-5

ASV スキャン報告書の要約 (ASV Scan Report Executive Summary) IP アドレスの 1 番が Fail( 非準拠 ) 判定 CVSS スコア 6.8 で 中程度の脆弱性が発見されたことを表示している Copyright 2012 Nippon Office Systems LTD. P-6

脆弱性の詳細結果 (Vulnerability Scoring Reference) Vulnerability_Name_Finding 脆弱性名称と判明した事象 Severity_Status 脆弱性レベルと状況 IP_Addresses_affected 影響を受ける IP アドレス Threat 脅威 Impact 影響 Solution 解決策 Category Apache HTTP サーバー 413 エラー HTTP リクエスト方法にクロスサイトスクリプティングに対する脆弱性があります 3/potential **.***.***.2:443/tcp Apache HTTPサーバーがクロスサイトスクリプティングに対し脆弱クロスサイトスクリプティングに対し脆弱です この問題は 413 HTTPエラーになってしまうような 巧みに工作されたHTTPリクエストをアプリケーションがうまく識別処理できなかったときに起こります 413エラーはリクエスト自体のデータストリームが大きすぎてサーバーが処理できないときに起こります サーバーはこの問題に対したとき起こった事象を記述したページを送り返します エラーページが表示されると 攻撃者のスクリプトコードは アプリケーションの文脈の中でウェブページに載せられてしまいます 攻撃者はこのことを利用してクッキーの認証コードを盗み 更なる攻撃をしかけます この問題は Apache 2.2.8 では解決されています この脆弱性は Apache のデフォルト 413 エラーメッセージを使用不能にすることで緩和できます 参照 : http://httpd.apache.org/docs/2.0/mod/core.html#errordocument あるいはウェブアプリケーション用のファイアウォールを使用することもあわせて考慮してください 例えば mod_security のようなもの 参照 :http://www.modsecurity.org/ Web Application Copyright 2012 Nippon Office Systems LTD. P-7

報告書はお客様ごとのクラウド Key-BOX で継続管理 SSL 認証でログイン ASV スキャンレポートだけでなく PCIDSS のドキュメントやエビデンスも相互に載せられる 担当 QSA が 年間を通じてチェックし 継続フォロー Copyright 2012 Nippon Office Systems LTD. P-8

検査料金の概要 IPアドレスの数 単価 税別 合計料金 税別 3 個以内 63,000 4 18,000 72,000 5 15,000 75,000 6~10 13,500 81,000~135,000 11~20 12,600 138,600~252,000 21~30 12,000 252,000~360,000 1) 四半期ごと計 4 回分の検査料金 翌年度以降は年単位の自動継続が可能 2)1 サイト単位での料金を表わします サイト A の IP が 3 個 サイト B の IP が 4 個の場合 それぞれの単価でお見積り 3) 3 個以内の場合は 一律 63,000 円 4) 脆弱性対応後の再スキャンなど 追加は IP1 個 1 回あたり 10,000 円 ( 税別 ) 同時に再スキャンの必要な IP が複数ある場合は 別途お見積り Copyright 2012 Nippon Office Systems LTD. P-9

PCIDSS に準拠するために お問合せは日本オフィス システム株式会社 135-8568 東京都江東区潮見 2-10-24 電話 03-4321-5555 Mail nosinfo@nos.co.jp Copyright 2012 Nippon Office Systems LTD. P-10

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック