独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 調 達 仕 様 書 平 成 25 年 1 月 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構
1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下 総 合 機 構 という)の 情 報 システムに 関 しても 総 合 機 構 外 部 並 びに 内 部 へのサービスの 質 を 保 ち かつ サービスを 停 止 しないため 不 正 ア クセス 等 に 対 するセキュリティを 確 保 することが 求 められている 情 報 システム 脆 弱 性 監 査 業 務 は 総 合 機 構 に 設 置 された Web サーバや Mail サーバ 等 の 外 部 情 報 提 供 サービスに 関 する 機 器 に 対 する 情 報 システムのネットワーク 監 査 と Web サイトに 対 するアプリケーション 監 査 を 行 い 情 報 セキュリティ 対 策 に 資 すること を 目 的 とする さらに 標 的 型 攻 撃 への 調 査 分 析 を 同 時 に 行 い 総 合 機 構 の 標 的 型 攻 撃 に 対 する 防 御 力 を 評 価 することを 目 的 とする 3. システム 監 査 対 象 (1) ネットワーク 監 査 対 象 装 置 a. 共 用 LAN システム 例 規 集 サーバ 1 台 総 合 機 構 Web サーバ 1 台 Common サーバ 1 台 MailBox サーバ 1 台 会 計 サーバ 1 台 人 事 給 与 サーバ 1 台 b. 新 申 請 審 査 システム DWAP WEB サーバ 1 台 ターミナルサーバ 1 台 DB サーバ 1 台 AD サーバ 1 台 c. 安 全 系 システム 一 般 公 開 サーバ 1 台 企 業 情 報 サーバ 1 台 PUSH サーバ 1 台 (2) アプリケーション 監 査 対 象 サイト a. 医 療 品 医 療 機 器 総 合 機 構 ホームページ(www.pmda.go.jp) 1
b. 例 規 集 データベース(www.reiki.pmda.go.jp) c. 医 薬 品 医 療 機 器 情 報 提 供 ホームページ(www.info.pmda.go.jp) d. 日 本 薬 局 方 医 療 機 器 基 準 等 情 報 提 供 ホームページ(www.pmda.go.jp) e. マイ 医 薬 品 集 作 成 サービス(push.info.pmda.go.jp) 上 記 アプリケーション 監 査 対 象 サイトのページ 数 (HTML などの 静 的 ページを 含 む) は 以 下 の 通 りです A+D www.pmda.go.jp 906 B www.reiki.pmda.go.jp 9 C www.info.pmda.go.jp 1752 E push.info.pmda.go.jp 13 (3) 標 的 型 攻 撃 調 査 評 価 対 象 職 員 数 約 1200 名 4. 業 務 内 容 本 業 務 は 主 に 公 開 サーバを 対 象 とした 脆 弱 性 監 査 業 務 と 標 的 型 攻 撃 に 対 する 調 査 評 価 である 監 査 結 果 報 告 書 を 作 成 し 総 合 機 構 会 議 室 において 報 告 会 議 を 開 催 すること なお 検 出 された 脆 弱 性 を 改 修 する 作 業 については 本 業 務 に 含 まれない a. プラットフォーム 脆 弱 性 監 査 前 項 のシステム 監 査 対 象 装 置 を 対 象 としたオンサイト 監 査 とする 脆 弱 性 監 査 の 対 象 は 対 象 装 置 の OS ミドルウェア 一 般 的 なソフトウェアとし そ れらの 脆 弱 性 の 一 覧 および 対 処 方 法 優 先 度 具 体 的 な 運 用 の 改 善 点 等 を 記 した 報 告 書 を 作 成 すること 監 査 項 目 の 詳 細 は 別 紙 に 記 す b. 管 理 者 向 け 聴 取 による 監 査 総 合 機 構 のシステム 管 理 者 5 名 に 対 し 聴 取 形 式 による 運 用 面 管 理 面 における 脆 弱 性 監 査 を 実 施 し 管 理 対 象 システムごとに 脆 弱 性 問 題 点 の 一 覧 および 改 善 項 目 優 先 度 推 奨 する 運 用 管 理 手 法 等 を 記 した 報 告 書 を 作 成 すること 聴 取 の 内 容 は 別 紙 に 記 す c. ログ 分 析 監 査 総 合 機 構 の 指 定 の 2 つの Web システムにおいて 過 去 3 か 月 分 の Web サーバログを 2
分 析 し 攻 撃 の 痕 跡 を 調 査 すること 検 出 した 攻 撃 手 法 ごとの 一 覧 および 攻 撃 の 成 功 可 能 性 対 処 優 先 度 具 体 的 な 運 用 の 改 善 点 等 を 記 した 報 告 書 を 作 成 すること ログ 分 析 の 内 容 は 別 紙 に 記 す d. アプリケーション 監 査 前 項 のアプリケーション 監 査 対 象 サイトを 対 象 とした Web アプリケーション 監 査 と する アプリケーションに 起 因 する 各 種 脆 弱 性 に 対 する 監 査 を 行 い サイト 毎 に 検 出 され た 脆 弱 性 一 覧 深 刻 度 等 を 記 した 報 告 書 を 作 成 すること 監 査 対 象 となる 脆 弱 性 一 覧 は 別 紙 に 記 す e. Bot 感 染 検 査 アンチウイルスソフトウェアでは 検 知 できない Bot タイプのマルウェアに 感 染 した 場 合 の 影 響 を 把 握 するために 実 際 に Bot タイプのマルウェアを 当 機 構 のコンピュー タ 感 染 させ どのような 影 響 があるかを 検 査 する 使 用 する Bot タイプのマルウェアは インターネット 上 に 存 在 する 本 物 のマルウェ アを 検 査 実 施 者 が 完 全 に 無 害 化 かつコントロール 可 能 な 状 態 としたものを 使 用 する こと マルウェアは インターネット 上 の C&C サーバと 通 信 を 行 う Bot タイプのマル ウェアとし C&C サーバとの 通 信 プロトコルは http, https に 対 応 すること さらに 当 機 構 ではプロキシーサーバを 使 用 しているので プロキシーサーバを 使 用 した 環 境 化 でも 動 作 するマルウェアであることが 必 須 である 不 測 事 態 にも 迅 速 かつ 適 切 な 対 応 が 必 要 であるため 必 ず 検 査 実 施 者 がマルウェアの 改 変 を 実 施 しなけ ればならない 当 機 構 内 のコンピュータが Bot に 感 染 しているかを 検 査 するには 動 的 解 析 機 能 を 有 した 実 績 のある 製 品 を 使 用 する 動 的 解 析 は exe pdf マイクロソフトオフィス 形 式 のすべてを 対 象 とすること 動 的 解 析 は 当 機 構 内 で 実 施 すること(クラウド 等 への 送 信 は 禁 止 する) 検 査 パケットの 取 りこぼしを 防 ぐため 複 数 の 動 的 解 析 を 同 時 に 実 行 できる 機 能 を 有 すること f. 標 的 型 メール 訓 練 標 的 型 メール 攻 撃 に 対 する 当 機 構 職 員 の 対 応 力 および 意 識 の 向 上 をはかるため 標 的 型 メールに 相 当 するなりすましメールを 作 成 し 当 機 構 のスケジュールに 従 い 訓 練 メールの 送 信 Web サイトへのアクセス 状 況 の 集 計 等 業 務 を 行 うためのシステム 環 境 を 準 備 し 訓 練 結 果 の 分 析 を 行 うこと 5. 実 施 期 間 及 び 実 施 形 態 契 約 日 から 平 成 25 年 3 月 31 日 までとし 受 託 者 が 派 遣 する 監 査 員 が 実 施 スケジ 3
ュールに 基 づいて 業 務 を 行 う 受 託 者 は 提 出 する 実 施 手 順 書 の 実 施 体 制 図 に 基 づき 監 査 員 を 派 遣 する 6. 提 出 物 及 び 提 出 期 限 当 該 業 務 を 遂 行 するにあたり 以 下 の 提 出 物 を 作 成 し 提 出 すること ( 様 式 任 意 ) (1) 実 施 計 画 書 契 約 日 から 2 週 間 以 内 に 総 合 機 構 担 当 者 へ 提 出 すること 実 施 計 画 書 は 以 下 の 項 目 を 含 むこと a. システム 監 査 対 象 機 器 一 覧 総 合 機 構 担 当 者 と 協 議 の 上 対 象 となるシステム 機 器 サイトの 一 覧 を 業 務 内 容 単 位 で 記 載 すること b. 使 用 ツール 機 器 一 覧 本 業 務 を 遂 行 するために 使 用 するツール 機 器 を 明 記 すること c. システム 監 査 全 体 スケジュール 総 合 機 構 担 当 者 と 協 議 の 上 監 査 業 務 全 体 のスケジュールを 作 成 すること d. 体 制 図 本 業 務 を 遂 行 するための 体 制 を 記 載 すること e. 実 施 工 程 監 査 聴 取 の 実 施 要 領 を 記 載 すること (2) 監 査 結 果 報 告 書 監 査 結 果 報 告 書 は 以 下 の 内 容 を 含 むこと a. 監 査 結 果 報 告 書 監 査 対 象 システム 全 体 および 機 器 ごとの 考 察 と 推 奨 される 対 策 をまとめた もの 聴 取 検 査 における 監 査 項 目 ごとに 考 察 と 推 奨 される 対 策 をまとめたもの ログ 分 析 における 検 出 された 攻 撃 タイプごとに 考 察 と 推 奨 される 対 策 をま とめたもの b. プラットフォーム 脆 弱 性 一 覧 プラットフォーム 監 査 の 結 果 を 元 に 機 器 ごとに 検 出 された 脆 弱 性 を 記 載 し 対 応 方 法 優 先 度 を 一 覧 で 記 載 すること 4
c. 聴 取 結 果 レポート( 担 当 者 毎 全 担 当 者 比 較 ) 担 当 者 毎 の 聴 取 結 果 の 一 覧 と 監 査 員 のコメントを 一 覧 で 記 載 すること また 担 当 者 毎 アセスメントの 差 異 を 識 別 可 能 なグラフ 等 を 記 載 すること 一 覧 には 問 題 点 対 応 優 先 度 改 善 項 目 推 奨 する 運 用 管 理 方 法 を 含 める こと d. ログ 分 析 監 査 結 果 レポート 攻 撃 に 分 類 されるアクセス 履 歴 を 一 覧 で 記 載 すること また 攻 撃 が 成 立 した 可 能 性 を 分 析 し 対 応 優 先 度 具 体 的 な 改 善 方 法 を 記 載 すること e. アプリケーション 監 査 レポート アプリケーション 監 査 の 結 果 を 元 に 監 査 対 象 サイト 毎 に 検 出 された 脆 弱 性 を 記 載 し その 脆 弱 性 に 対 する 一 般 的 な 対 応 方 法 優 先 度 を 一 覧 で 記 載 する こと f. 標 的 型 攻 撃 感 染 調 査 レポート マルウェア 感 染 による 当 機 構 の 影 響 を 一 覧 で 記 載 し 且 つこれらに 対 して 推 奨 する 運 用 管 理 方 法 も 記 載 すること また 動 的 解 析 機 能 を 用 いた 製 品 での 感 染 調 査 に 関 しても 同 様 とする g. 標 的 型 メール 訓 練 レポート 標 的 型 メールの 開 封 率 開 封 者 などの 傾 向 が 視 覚 的 に 分 かるレポートをまと めること (3) 各 種 証 跡 監 査 を 行 った 証 跡 となるデータはすべて 納 品 すること 納 入 品 目 は 以 下 のとおりとする 監 査 結 果 報 告 書 用 紙 2 部 CD-R 2 個 7. 応 札 者 の 条 件 (1) 情 報 セキュリティ 監 査 企 業 台 帳 に 関 する 規 則 ( 平 成 15 年 経 済 産 業 省 告 示 第 113 号 ) 第 4 条 に 規 定 する 情 報 セキュリティ 監 査 企 業 台 帳 ( 平 成 23 年 度 登 録 分 )に 登 録 さ れている 者 であること 国 独 立 行 政 法 人 政 府 系 特 殊 法 人 都 道 府 県 等 地 方 自 治 体 自 社 以 外 の 企 業 海 外 の 医 薬 品 医 療 機 器 の 規 制 当 局 において 情 報 システム 監 査 業 務 を 過 去 2 年 以 内 に 請 け 負 った 実 績 を 有 し 且 つ 本 業 務 を 履 行 できること また これら 実 績 5
を 証 明 できること (2) 情 報 セキュリティを 確 保 する 観 点 から ( 財 ) 日 本 情 報 経 済 社 会 推 進 協 会 または 海 外 の 認 定 機 関 により 認 定 された 審 査 機 関 による 情 報 セキュリティマネジメントシ ステム(ISMS)の 認 証 を 受 けていること (3) 成 果 物 の 品 質 保 証 の 観 点 から ( 財 ) 日 本 適 合 性 認 定 協 会 または 海 外 の 認 定 機 関 に より 認 定 された 審 査 機 関 による ISO9000 の 認 証 を 受 けていること (4) 入 札 参 加 者 が 監 査 対 象 となる 情 報 資 産 の 管 理 及 び 当 該 情 報 資 産 に 関 する 情 報 シ ステムの 企 画 開 発 運 用 保 守 等 について 関 わっていないこと (5) 脆 弱 性 監 査 業 務 は 監 査 対 象 が 前 年 とほほ 同 じであり 新 たな 観 点 による 監 査 結 果 を 導 くため 前 年 度 において 当 該 監 査 業 務 を 落 札 した 業 者 は 応 札 できないも のとする (6) 受 注 者 は 統 括 責 任 者 ( 業 務 全 体 を 統 括 する 責 任 者 ) 監 査 人 ( 業 務 完 了 まで 継 続 して 事 業 の 実 施 を 行 える 者 であって 業 務 の 実 施 にあたっての 責 任 者 ) 監 査 補 助 者 ( 監 査 人 の 配 下 に 属 する 者 であって 個 々の 業 務 を 行 う 者 ) アドバイザー( 業 務 の 品 質 を 管 理 する 者 )からなる 監 査 チームを 編 成 すること 各 者 の 氏 名 所 属 部 署 及 び 連 絡 先 とともに 各 者 の 経 歴 専 門 分 野 各 種 保 有 資 格 等 について 契 約 締 結 後 5 日 以 内 に 機 構 に 提 出 し 了 承 を 得 ること 本 監 査 業 務 の 開 始 後 適 切 な 業 務 が 実 施 できないと 監 査 チームが 判 断 した 場 合 に は 受 注 者 は 監 査 チーム 体 制 を 変 更 すること なお 受 注 者 は 体 制 を 変 更 する 際 は 監 査 業 務 の 遂 行 に 影 響 がでないようにす るとともに 変 更 に 要 した 費 用 については 自 らが 負 担 すること (7) 監 査 チームには 財 団 法 人 日 本 情 報 処 理 開 発 協 会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対 応 -( 平 成 20 年 1 月 31 日 ) 5.2.2 教 育 訓 練 認 識 及 び 力 量 で 明 らかにされている 資 格 の 要 件 を 備 えた 専 門 家 が 2 人 以 上 含 まれていること (8) 監 査 チームには 監 査 の 効 率 と 品 質 の 保 持 のため 次 のいずれかの 実 績 ( 実 務 経 験 ) を 有 する 専 門 家 が 1 人 以 上 含 まれていること a. 情 報 セキュリティ 監 査 b. 情 報 セキュリティに 関 するコンサルティング (9) 入 札 参 加 者 が 監 査 対 象 となる 情 報 資 産 の 管 理 及 び 当 該 情 報 資 産 に 関 する 情 報 シ ステムの 企 画 開 発 運 用 保 守 等 について 関 わっていないこと (10) 本 業 務 による 納 品 物 の 中 立 性 客 観 性 を 確 保 するため 本 業 務 において 検 査 対 象 となっているWebアプリケーションの 構 築 及 び 開 発 保 守 等 に 参 画 していない こと また その 親 会 社 及 び 子 会 社 同 一 の 親 会 社 を 持 つ 会 社 並 びに 受 注 事 業 者 等 の 緊 密 な 利 害 関 係 を 有 する 事 業 者 も 同 様 とする (11) 応 札 業 者 の 社 内 に 情 報 セキュリティ 対 策 等 に 関 する 役 務 提 供 を 専 門 とする 部 門 を 有 していること (12) 取 り 扱 う 情 報 がセキュリティに 関 するものとなるため 最 低 限 応 札 者 の 事 務 所 で は 個 人 毎 に 配 布 された ID カード 等 による 入 退 室 管 理 が 行 われていること 6
(13) 標 的 型 攻 撃 に 対 する 防 御 力 を 評 価 するに 際 して BCP の 観 点 でのアドバイスも 必 要 とするため 事 業 継 続 協 会 認 定 プロフェッショナル(SBCI)を 監 査 メンバーに 1 名 以 上 加 えること (14) 信 頼 性 を 確 保 するため 導 入 実 績 として 1000 人 以 上 の 標 的 型 メール 訓 練 教 育 を 5 組 織 以 上 有 していること (15) 脆 弱 性 監 査 業 務 の 実 施 は 正 確 性 の 確 保 のためにツールだけでなく 必 要 に 応 じ て 手 動 でも 行 うこと 特 にツールが 検 知 した 内 容 については 誤 検 知 を 減 らすた めに 手 動 により 精 査 すること また Web アプリケーションの 仕 組 み 上 ツールが 使 用 できないと 判 断 される 場 合 には 手 動 にて 監 査 を 実 施 すること 8. 落 札 者 決 定 方 法 一 般 競 争 入 札 にて 決 定 する 9. 留 意 事 項 (1) 本 業 務 を 遂 行 するために 総 合 機 構 に 対 する 資 料 要 求 要 望 等 がある 場 合 は 原 則 文 書 にて 行 うこと (2) 業 務 にあたり 総 合 機 構 から 提 供 された 又 は 知 り 得 た 総 合 機 構 の 内 部 情 報 はすべ て 他 の 用 途 に 転 用 してはならず 契 約 期 間 中 に 指 示 する 方 法 で 破 棄 しなければ ならない この 契 約 終 了 後 も 同 様 とする 特 に 機 密 情 報 ( 総 合 機 構 より 明 確 に 機 密 と 指 定 されて 開 示 される 情 報 で 公 に は 入 手 できない 情 報 )については 別 に 機 密 保 持 誓 約 を 締 結 し これを 遵 守 しなければならない (3) 技 術 的 検 証 については 対 象 情 報 システムの 運 用 に 対 し 支 障 及 び 損 害 を 与 えな いように 実 施 するものとする また 本 業 務 における 検 査 を 実 施 した 後 総 合 機 構 のすべての 機 能 が 正 常 に 動 作 する 確 認 作 業 を 支 援 すること また 現 在 運 用 しているその 他 のシステム 機 器 等 に 影 響 を 与 えないこと 納 品 期 限 までに 本 セキュリティ 検 査 が 原 因 でシステム 障 害 が 発 生 した 場 合 現 地 へ1 時 間 以 内 に 技 術 員 を 派 遣 し 現 行 システム 保 守 業 者 と 調 整 の 上 システム 復 旧 が 対 応 できる 体 制 を 維 持 すること (4) 総 合 機 構 の 求 めに 応 じ 総 合 機 構 との 打 合 せを 実 施 すること (5) 本 仕 様 書 に 掲 げられている 事 項 の 他 本 業 務 を 遂 行 するために 必 用 な 事 項 は 総 合 機 構 担 当 者 と 協 議 の 上 実 施 すること (6) 本 業 務 を 遂 行 する 上 で 発 生 した 書 面 ( 電 子 媒 体 を 含 む ) その 他 類 似 の 派 生 物 ( 企 画 等 の 構 想 も 含 む )は 一 切 の 著 作 権 所 有 権 及 び 使 用 権 を 総 合 機 構 に 帰 属 するものとする ただし 本 契 約 締 結 前 より 受 託 者 または 第 三 者 が 有 する 著 作 権 等 の 知 的 財 産 権 及 びノウハウ 等 については 受 託 者 または 第 三 者 に 留 保 されるもの とする 7
また 成 果 物 の 著 作 人 格 権 は 行 使 しないことを 契 約 書 にて 締 結 することとする (7) 受 託 者 は この 契 約 に 基 づく 業 務 を 処 理 するために 総 合 機 構 から 提 供 された 資 料 等 を 総 合 機 構 の 承 諾 なく 複 写 及 び 複 製 してはならない また 契 約 終 了 後 は 速 やかに 総 合 機 構 に 返 還 しなければならない なお 提 供 された 資 料 のうち 個 人 情 報 保 護 に 係 るもの 並 びに 当 該 ネットワーク 及 び 情 報 システムのセキュリティ に 係 るものは 施 錠 した 保 管 庫 等 で 保 管 する 等 大 切 に 管 理 しなければならない (8) 本 業 務 に 必 要 な 機 器 類 の 調 達 通 信 費 等 は 本 契 約 に 含 めるものとする 10. 窓 口 連 絡 先 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 情 報 化 統 括 推 進 室 飛 知 和 康 史 電 話 :03 (3506)9485 Email:hichiwa-koshi@pmda.go.jp 8
別 紙 監 査 項 目 一 覧 A. プラットフォーム 脆 弱 性 監 査 監 査 項 目 概 要 アカウント ユーザアカウントおよびパスワード 管 理 の 妥 当 性 CGI スクリプト 等 各 種 サービス データベース セキュリティ 設 定 各 種 ソフトウェア Web サーバ バックドア サービス 妨 害 耐 性 セキュリティ 脆 弱 性 を 持 つ CGI スクリプトの 存 在 を 調 査 サーバ 上 で 稼 働 する 各 種 サービスの 脆 弱 性 データベースアプリケーションに 存 在 する 脆 弱 性 Linux および Windows のセキュリティ 設 定 の 脆 弱 性 サーバ 上 で 動 作 する 各 種 ソフトウェアの 脆 弱 なバージョンの 検 出 WWW サーバに 存 在 するセキュリティホールをチェックする 監 査 攻 撃 者 がシステムに 仕 掛 けたバックドアプログラムの 検 出 DDoS 攻 撃 や 不 正 なパケットによるサービス 妨 害 攻 撃 に 対 する 耐 性 を 監 査 B. 管 理 者 向 け 聴 取 による 監 査 監 査 項 目 概 要 個 人 情 報 および 機 密 情 報 保 護 個 人 情 報 や 機 密 情 報 等 保 護 すべき 情 報 の 定 義 取 扱 規 定 に 関 する 監 査 安 全 な 認 証 機 能 の 利 用 各 種 認 証 機 能 (パスワードポリシー 含 む)の 運 用 に 関 する 監 査 証 跡 保 全 各 種 ログの 取 得 保 管 等 に 関 する 監 査 管 理 用 クライアント 運 用 に 利 用 するクライアント 環 境 に 関 する 監 査 サービス 妨 害 攻 撃 対 策 サービス 妨 害 攻 撃 に 対 する 準 備 検 知 対 策 に 関 する 監 査 監 視 分 析 ネットワーク 監 視 異 常 発 生 時 の 対 応 に 関 する 監 査 マルウェア 対 策 マルウェアへの 対 策 対 応 に 関 する 監 査 標 的 型 攻 撃 対 策 標 的 型 攻 撃 対 策 に 関 する 監 査 インシデントレスポン インシデント 発 生 時 の 対 応 事 業 継 続 に 関 する 監 査 ス C. ログ 分 析 監 査 監 査 項 目 SQL インジェクション OS コマンドインジェク ション ディレクトリトラバー サル クロスサイトスクリプ 概 要 SQL インジェクションを 試 行 するアクセス 痕 跡 を 検 出 OS コマンドインジェクションを 試 行 するアクセス 痕 跡 を 検 出 ディレクトリトラバーサルを 試 行 するアクセス 痕 跡 を 検 出 クロスサイトスクリプティングを 試 行 するアクセス 痕 跡 を 検 出 9
ティング 総 当 たり 攻 撃 の 検 出 ステータスコード 分 類 サンプルスクリプト 等 を 対 象 とした 攻 撃 ベーシック 認 証 に 対 するブルートフォース 攻 撃 などを 検 出 500 エラー 404 エラーなどを 検 出 脆 弱 性 が 残 存 したままの IIS や Apache のサンプルスクリプト 等 に 対 するアクセス 痕 跡 を 検 出 D. アプリケーション 監 査 検 査 項 目 概 要 認 証 : 総 当 たり 攻 撃 管 理 者 アカウントへの 総 当 たり 攻 撃 影 響 度 を 検 証 認 証 : 不 適 切 な 認 証 正 常 なログイン 処 理 を 介 さずにログイン 後 の 画 面 にアクセスできて しまうかを 検 証 Authorization: インデ アクセス 制 御 を 行 うための 認 可 に 使 用 するインデックス 番 号 やセッ クシング/セッションの ション 番 号 が 推 測 可 能 か 検 証 推 測 Authorization: 不 適 切 設 定 の 不 備 等 で 不 適 切 な 許 可 がされないか 検 証 な 許 可 Authorization: 不 適 切 Cookie に 保 存 されたセッション 情 報 を 盗 み 出 すことができないか 検 なセッション 期 限 証 Authorization: セッシ セッションを 固 定 化 されて 第 三 者 のセッションハイジャックが 可 能 ョンの 固 定 か 検 証 クライアント 側 攻 撃 : コンテンツのなりすましによるフィッシング 攻 撃 が 成 立 するか 検 証 コンテンツのなりすま し クライアント 側 攻 撃 : 第 三 者 により 任 意 のスクリプトが 実 行 されるクロスサイトスクリプ クロスサイトスクリプ ティング 脆 弱 性 が 存 在 するか 検 証 ティング コマンドの 実 行 : バッ バッファオーバーフローの 脆 弱 性 が 存 在 するか 検 証 ファオーバーフロー コマンドの 実 行 : 書 式 プログラムをクラッシュさせたり 不 正 なコードを 実 行 させたりする 文 字 列 攻 撃 書 式 文 字 列 攻 撃 脆 弱 性 が 存 在 するか 検 証 コマンドの 実 行 : LDAP LDAP インジェクション 脆 弱 性 が 存 在 するか 検 証 インジェクション コマンドの 実 行 : OS 命 OS コマンドインジェクション 脆 弱 性 が 存 在 するか 検 証 令 コマンドの 実 行 : SQL イ SQL インジェクション 脆 弱 性 が 存 在 するか 検 証 ンジェクション コマンドの 実 行 : SSI イ SSI インジェクション 脆 弱 性 が 存 在 するか 検 証 ンジェクション 10
コマンドの 実 行 : XPath インジェクション 情 報 の 開 示 : ディレク トリインデクシング 情 報 の 開 示 : 情 報 遺 漏 情 報 の 開 示 : パストラ バーサル 情 報 の 開 示 : 推 測 可 能 なリソースの 位 置 論 理 攻 撃 : 機 能 の 悪 用 論 理 攻 撃 : サービス 拒 否 攻 撃 アプリケーションプラ イバシーテスト アプリケーション 品 質 テスト Xpath インジェクション 脆 弱 性 が 存 在 するか 検 証 ディレクトリ Index が 外 部 から 参 照 可 能 か 検 証 ユーザ 名 パスワードなど 秘 密 情 報 が 外 部 に 公 開 されていないか 検 証 本 来 公 開 されないはずのファイルが 公 開 される 脆 弱 性 が 存 在 するか 検 証 内 部 のリソースが 簡 単 に 推 測 できる 脆 弱 性 が 存 在 するか 確 認 Web サーバの 特 徴 や 機 能 を 利 用 して 攻 撃 する 脆 弱 性 が 存 在 するか 検 証 サービス 拒 否 攻 撃 に 対 する 耐 性 を 検 証 暗 号 化 の 有 無 などを 検 証 デバッグ 情 報 の 収 集 などを 検 証 11