スライド 1

セキュリティー 診 断 分 析 サービス ご 紹 介 資 料 日 本 アイ ビー エム 株 式 会 社

セキュリティを 取 り 巻 く 環 境 情 報 ネットワークの 急 速 な 発 展 とともに システム ネットワークをとりまく 脅 威 は 増 加 しています 新 たな 脅 威 に 対 応 するため 抜 けもれのないセキュリティー 対 策 が 求 められています セキュリティ 脅 威 の 増 大 サイバーテロ の 増 加 個 人 機 密 情 報 の 漏 洩 脅 威 の 増 大 と セキュリティ 確 保 の 要 求 顧 客 民 間 からの 要 請 安 全 性 確 保 の 要 求 信 頼 されるサービスの 供 給 個 人 情 報 の 保 護 システム 環 境 の 変 化 ネットワーク 技 術 の 多 様 化 ブロードバンドの 普 及 モバイル 環 境 の 普 及 からの 保 護 顧 客 からの 信 頼 性 要 求 社 会 行 政 からの 要 請 禁 止 法 日 本 版 SOX 法 対 応 PCIDSS 対 応 脆 弱 性 の 報 告 件 数 (*) 増 加 するWeb 脆 弱 性 への 攻 撃 傾 向 (*) 企 業 情 報 システム 増 加 率 600% Security&Privacy (*)いずれも IBM X-Force 調 べ Page 2

IBM Security Services セキュリティ 診 断 分 析 サービスとは IBMセキュリティ 診 断 分 析 サービス:Webアプリケーション 診 断 の 場 合 IBM 施 設 内 に 設 置 したセキュリティ 診 断 用 マシンを 使 用 したインターネット 経 由 による 外 部 診 断 および 貴 社 データセンター 内 にセキュリティ 診 断 用 マ シンを 設 置 して 実 施 する 内 部 診 断 の2つのセキュリティ 診 断 を 実 施 します 1 外 部 診 断 インターネットからの セキュリティ 診 断 (IBM 施 設 内 より 実 施 ) VPNサーバ Internet FW ルータ お 客 様 NW FW DMZ :セキュリティ 診 断 用 マシン :ファイアウォール :De-Militarized Zone 非 武 装 地 帯 WWWサーバ DNSサーバ MAILサーバ PROXYサーバ DMZネットワーク FW 2 内 部 診 断 内 部 ネットワーク からの 診 断 (お 客 様 DC 内 より 実 施 DC 間 の 経 路 も 対 象 ) FW 内 部 ネットワーク(DC-1) 内 部 ネットワーク(DC-2) 1 外 部 診 断 : ハッカー クラッカー といった 外 部 からの 脅 威 を 想 定 して インターネット 経 由 で 診 断 を 実 施 します 2 内 部 診 断 : 内 部 のエンドユーザ/ 管 理 者 からの の 脅 威 を 想 定 して 内 部 ネットワークから 診 断 を 実 施 します Page 3

セキュリティ 診 断 の 実 施 内 容 外 部 診 断 内 部 診 断 ではそれぞれ 以 下 のような 内 容 の 診 断 を 実 施 します ( 以 下 はWebアプリケーション 診 断 の 場 合 の 診 断 実 施 内 容 です ) 診 断 実 施 内 容 1 外 部 診 断 インターネットからの セキュリティ 診 断 (IBM 施 設 内 より 実 施 ) 診 断 対 象 機 器 探 査 ( 稼 働 機 器 探 査 ) ポートスキャンによる 稼 働 サービス 調 査 ( 稼 働 が 確 認 できたアドレスに 対 して TCP:フルポート UDP:Well-knownポート) ツールによるネットワーク 脆 弱 性 診 断 手 動 調 査 によるネットワーク 脆 弱 性 診 断 ツールによるWebアプリケーション 脆 弱 性 診 断 手 動 調 査 によるWebアプリケーション 脆 弱 性 診 断 2 内 部 診 断 内 部 ネットワーク からの 診 断 (お 客 様 DC 内 より 実 施 ) ポートスキャンによる 稼 働 サービス 調 査 ( 全 対 象 機 器 に 対 して TCP:フルポート UDP:Well-knownポート) ツールによるネットワーク 脆 弱 性 診 断 手 動 調 査 によるネットワーク 脆 弱 性 診 断 Page 4

診 断 アプローチ ~ Webアプリケーション 診 断 Webアプリケーションのセキュリティ 脅 威 は WASC (Web Application Security Consortium)が 公 開 している 脅 威 分 類 が 一 般 的 と 考 えられています IBMのWebアプリケーション 診 断 では WASC 脅 威 分 類 の 内 容 はもちろんお 客 様 のWebサイトの 安 全 性 を 徹 底 的 に 洗 い 出 すため 以 下 の 項 目 を 調 査 します Webアプリケーション 診 断 サービスの 調 査 カテゴリ 項 目 認 証 承 認 認 可 総 当 たり 攻 撃 不 適 切 な 認 証 もろいパスワード 復 元 の 検 証 証 明 書 セッションの 推 測 不 適 切 な 承 認 不 適 切 なセッション 期 限 コマンドの 実 行 バッファオーバフロー 書 式 文 字 列 攻 撃 LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSIインジェクション ロジックを 狙 った 攻 撃 機 能 の 悪 用 サービス 拒 否 自 動 化 の 停 止 が 不 適 切 不 適 切 なプロセス 検 証 クライアント 側 での 攻 撃 セッションの 固 定 クロスサイトリクエストフォージェリ コンテンツの 詐 称 クロスサイトスクリプティング クロスサイトトレーシング 外 部 サイトへのリダイレクト 情 報 公 開 XPathインジェクション ディレクトリの 一 覧 表 示 情 報 漏 洩 ディレクトリトラバーサル 推 測 可 能 なリソースの 位 置 その 他 HTTPヘッダインジェクション Webサーバ アプリケーション 特 定 不 適 切 な 暗 号 化 既 知 の 脆 弱 なアプリケーション 既 知 の 脆 弱 なWebサーバ 注 ) マークはWASC 脅 威 分 類 には 含 まれていない 項 目 です 参 考 )WASC:Threat Classification http://www.webappsec.org/projects/threat/ Page 5

診 断 アプローチ ~ Webアプリケーション 診 断 調 査 手 法 Webアプリケーション 診 断 では Webアプリケーションに 不 良 データ( 多 種 多 様 な 文 字 列 の 組 み 合 わ せ)の 入 力 を 試 行 して Webアプリケーションの 挙 動 を 調 査 します このような 調 査 手 法 は 一 般 的 に ファズ テストと 呼 ばれます Webアプリケーション 診 断 サービスでは ファズ テストの 調 査 方 法 をお 客 様 のWebアプリケーションにカスタマイズして 実 施 します 調 査 手 法 (ファズ テスト)のイメージ Webアプリの 挙 動 を 調 査 確 認 ヘッダチェック コンテンツチェック ポートリスナチェック Web サーバ GETクエリー POSTデー タ Cookie ファズ テストの 入 力 対 象 箇 所 の 例 GETメソッドによるクエリーパラメータへの 入 力 調 査 を 実 施 する クエリーパラメータの 区 切 り 文 字 列 が(&;) 以 外 も 対 象 とする POSTデータのパラメータへの 入 力 調 査 を 実 施 する Hiddenフィールドのパラメータも 調 査 対 象 とする Cookieデータのパラメータの 入 力 調 査 を 実 施 する HTTP Response Try & Error 不 良 データを 含 む 診 断 用 HTTP Request Referer HTTPヘッダ リファラー 文 字 列 の 入 力 調 査 を 実 施 する 上 記 以 外 のHTTPヘッダについても 入 力 調 査 を 実 施 する ブラウザ Webアプリに 適 した 入 力 文 字 送 信 ヘッダチェック パラメータチェック クライアント 側 チェック XMLスキー マ Flash/SW F JavaScript SOAP 通 信 などではXMLスキーマに 定 義 されたパラメータの 入 力 調 査 を 実 施 する Webサーバ アプリケーションを 経 由 してFlashに 渡 されるパラメータへ の 入 力 調 査 を 実 施 する クライアントサイドで 実 行 されるJSファイルに 対 する 入 力 調 査 を 実 施 す る Page 6

診 断 アプローチ ~ Webアプリケーション 診 断 実 施 方 法 Webアプリケーション 診 断 の 実 施 方 法 は IBM Rational AppScan 製 品 に 代 表 される 統 合 ツールによる 診 断 およびセキュリティ 技 術 者 による 手 動 操 作 の 診 断 の2 種 類 の 方 法 に 大 きく 分 類 できます 統 合 ツールおよび 手 動 操 作 を 組 み 合 わせることで 網 羅 的 で 品 質 の 高 い 診 断 を 実 施 します 診 断 方 法 分 類 概 要 メリット デメリット 統 合 ツール (スキャナー) 手 動 操 作 Webアプリケーションのセキュリティ 脆 弱 性 を IBM Rational AppScanなどのWebアプリ ケーションスキャン 専 用 の 統 合 ツールを 用 い て 自 動 判 別 し 洗 い 出 しをおこなう Webアプリケーションのセキュリティ 脆 弱 性 を セキュリティ 技 術 者 が 手 動 操 作 を 行 うことで 洗 い 出 しをおこなう 統 合 ツールによるシグネチャベースの 診 断 を 実 施 することで 網 羅 的 に 脆 弱 性 を 洗 い 出 せる 操 作 者 組 織 のスキル 依 存 度 が 低 い 自 動 判 別 による 診 断 となるためアプリケーションによっては 脆 弱 性 を 見 落 とすおそれがある 検 証 結 果 に 誤 報 (FalsePositive)が 発 生 する 固 有 Webアプリケーションの 挙 動 を 個 別 判 断 することが 可 能 となるた め 脆 弱 性 を 深 いレベルで 洗 い 出 せる 複 数 画 面 が 関 連 するものなど 複 合 的 な 脆 弱 性 の 洗 い 出 しも 可 能 人 為 的 なミスによる 診 断 モレのおそれがある 診 断 実 施 者 ( 操 作 者 )に 高 度 なスキルが 要 求 される 実 Webア 施 プ 方 リ 法 ケ パ ー タ シ ー ョ ン ン 診 断 パターン1: 統 合 ツール 中 心 の 診 断 統 合 ツールによる 脆 弱 性 診 断 と 簡 易 的 な 手 動 操 作 を 組 み 合 わせた 診 断 パターン 統 合 ツールによる 診 断 のため 網 羅 性 は 高 いが 深 いレベルでの 調 査 には 不 向 き パターン2: 手 動 操 作 中 心 の 診 断 スキルの 高 い 技 術 者 による 手 動 操 作 中 心 の 診 断 パターン 深 いレベルでの 脆 弱 性 調 査 が 可 能 診 断 モレを 防 ぐプロセスなどが 必 要 パターン3: 統 合 ツール+ 手 動 操 作 による 診 断 12の 複 合 パターンであり 統 合 ツール 手 動 操 作 の 双 方 で 全 画 面 を 確 認 する 網 羅 性 および 品 質 ( 深 いレベル)を 確 保 可 能 Page 7

診 断 アプローチ ~ 脆 弱 性 評 価 基 準 セキュリティ 診 断 で 発 見 された 脆 弱 性 を 危 険 度 高 中 低 の3 段 階 に 評 価 します セキュリティ 診 断 危 険 度 評 価 基 準 評 価 基 準 の 具 体 的 説 明 VPNサーバ Internet FW FW ルータ WWWサーバ MAILサーバ DNSサーバ ファイルサーバ 発 見 した 脆 弱 性 を 評 価 高 High 顧 客 情 報 の 漏 洩 やシス テムへの 侵 入 などの 重 大 な 脆 弱 性 改 善 に 緊 急 を 要 する 脆 弱 性 サーバへの 直 接 的 な 侵 入 が 可 能 である 攻 撃 によりサーバ 全 体 または 主 体 となるサービスが 使 用 不 能 状 態 につながる 可 能 性 がある サーバ 内 の 全 ファイルの 取 得 や 改 竄 特 権 権 限 によるコマンド 実 行 を 許 す 可 能 性 がある ユーザ 個 人 に 関 わる 重 要 情 報 (クレジットカード 番 号 等 )が 外 部 のサーバまたは 別 のユーザに 転 送 公 開 される 恐 れがある Page 8 調 査 手 法 (ファズ テスト)のイメージ Webアプリの 挙 動 を 調 査 確 認 ヘッダチェック コンテンツチェック ポートリスナチェック HTTP Response ブラウザ Try & Error Web サーバ 不 良 データを 含 む 診 断 用 HTTP Request Webアプリに 適 した 入 力 文 字 送 信 ヘッダチェック パラメータチェック クライアント 側 チェック 中 Medium 低 Low 設 定 ミスなど 将 来 的 に 危 険 度 Highに 推 移 する 可 能 性 がある 脆 弱 性 改 善 を 要 する 脆 弱 性 危 険 度 が 低 い 脆 弱 性 サーバ 内 の 非 公 開 ファイルの 取 得 限 定 された 範 囲 内 でのコ マンド 実 行 を 許 す 可 能 性 がある サーバが 提 供 しているサービスの 一 部 が 使 用 不 能 状 態 につな がる 可 能 性 がある 直 接 的 な 侵 入 や 攻 撃 への 手 助 けとなる 多 くの 情 報 を 提 供 す る 可 能 性 がある 他 のサイトや 他 のホストへの 攻 撃 の 踏 み 台 となる 可 能 性 があ る サーバやネットワーク 構 成 情 報 の 一 部 の 取 得 を 許 す 可 能 性 が ある ユーザ 情 報 サーバ 稼 働 状 況 等 の 取 得 を 許 す 可 能 性 がある 間 接 的 に 攻 撃 や 侵 入 の 手 助 けとなる 情 報 を 提 供 する 可 能 性 がある

診 断 報 告 書 サンプル <ネットワーク 脆 弱 性 診 断 概 要 報 告 書 > 今 回 診 断 では 9 種 類 の 脆 弱 性 が 検 出 されました No. 危 険 度 脆 弱 性 名 称 対 象 システム 対 策 推 奨 1 High DNSキャッシングポイジング 外 部 DNS P/V 2 Medium Expectヘッダークロスサイトスクリプティング MetaFrame P/V 3 Medium FirePass 管 理 コンソールの 表 示 FirePass 設 定 4 Low ポイント1 外 部 DNS MetaFrame バージョン 情 報 の 取 得 FirePass 設 定 管 理 者 に 対 策 コストを 想 定 していただくために 推 奨 対 策 の 推 奨 度 方 法 を 提 示 します 5 Low ASPエラーページの 表 示 MetaFrame 設 定 6 Low 強 度 の 弱 い 暗 号 接 続 FirePass 設 定 7 Low 第 3 者 から 時 刻 同 期 が 可 能 ルーター 設 定 8 Low TCP TimeStampに 応 答 ファイアウオール MetaFrame FirePass 9 Low UDP TRACEROUTEに 応 答 ルーター 設 定 1: 対 策 は 以 下 の3 種 類 に 分 かれます No. 略 語 意 味 1 P/V Page 9 アプリケーションのバージョンアップまたは OSのパッ チの 適 用 2 設 定 設 定 ファイルの 変 更 サービスの 停 止 等 3 修 正 アプリケーションの 修 正 2: 推 奨 は 以 下 の2 段 階 に 分 かれます No. 略 図 意 味 1 危 険 度 が 高 く 且 つ 比 較 的 容 易 に 攻 撃 が 可 能 な ものと 位 置 付 け 早 急 な 対 策 を 推 奨 します 設 定 SAMPLE ポイント2 脆 弱 性 によるリスクと 対 策 内 容 を 比 較 し お 客 様 判 断 2対 策 がアプリケーションの でリスクを 許 容 し 対 策 を 実 施 しないという 選 択 肢 もあります 変 更 なのか パッチ 適 用 なのか 設 定 の 変 更 なのかを 参 照 することで 対 策 のコストをイメージできます

診 断 報 告 書 サンプル <ネットワーク 脆 弱 性 診 断 詳 細 報 告 書 > ポイント3 技 術 者 に 具 体 的 な 再 現 方 法 を 含 めて 提 示 するため 脆 弱 性 の 修 正 後 の 再 診 断 については 修 正 した 技 術 者 が 自 己 診 断 として 実 施 できます ( 脆 弱 性 にもよるが 単 純 なツール 診 断 のみでは 再 現 方 法 提 示 は 困 難 ) ポイント4 攻 撃 コードや 入 力 方 法 などが 具 体 的 に 提 示 されるため それらの 値 を 入 力 することにより 問 題 の 再 現 や 修 正 後 の 確 認 ( 再 診 断 )が 可 能 です SAMPLE Page 10

診 断 報 告 書 サンプル <Webアプリケーション 診 断 概 要 報 告 書 > 発 見 した 脆 弱 性 について どのようなシナリオが 考 えられるか またどのような 被 害 が 想 定 されるか 被 害 事 例 や 想 定 しうるリス クについて 解 説 いたします ポイント5 非 技 術 系 の 管 理 者 に 攻 撃 によるリスクを 想 定 していただくために 想 定 される 攻 撃 シナリオをイメージ で 提 示 します SAMPLE Page 11

診 断 報 告 書 サンプル <Webアプリケーション 診 断 詳 細 報 告 書 > 発 見 した 脆 弱 性 について 具 体 的 な 再 現 方 法 や 使 用 したパラメータや 入 力 方 法 などについて 解 説 いたします Webアプリ ケーションの 修 正 が 必 要 な 箇 所 が 明 確 なため その 後 の 迅 速 な 修 正 などのアクションが 可 能 となります ポイント6 手 動 と 組 み 合 わせて 診 断 を 実 施 することで これらのパラメータを 記 載 することが 可 能 です SAMPLE ポイント7 修 正 確 認 や 次 回 診 断 の 際 に 仕 様 書 を 作 成 する 際 の 情 報 元 として 活 用 いただけます Page 12

他 社 比 較 ~ Webアプリケーション 診 断 サービス IBMのWebアプリケーション 診 断 サービスはTPO ( Technology, Process, Organization) 視 点 それぞ れにおいて 広 い 対 応 領 域 と 最 高 の 品 質 を 追 求 しており 他 社 サービスと 比 較 して 高 品 質 満 足 度 の 高 い サービスをご 提 供 いたします カテゴリ 比 較 項 目 A 社 B 社 C 社 IBM IBMの 特 徴 技 術 Technology プロセス Process 組 織 Organization 脆 弱 性 スキャナによる 診 断 ( 商 用 ツール) 手 動 診 断 のみによる 診 断 各 種 通 信 プロトコル 対 応 脆 弱 性 対 応 サポート 診 断 計 画 の 最 適 な 提 案 IBMでは 脆 弱 性 スキャナIBM Rational AppScanを 自 社 開 発 しておりWeb 診 断 において 有 効 的 に 活 用 しております 深 いレベルでの 脆 弱 性 調 査 や 本 番 環 境 の 負 荷 を 考 慮 する 場 合 など 全 ての 画 面 をX-Force 手 動 調 査 手 法 により 診 断 できます 一 般 的 なHTTP/HTTPS 通 信 (GET/POST)のみでなく SOAP/XMLやバイナ リ 通 信 など 幅 広 いシステムを 診 断 します 発 見 された 脆 弱 性 を 評 論 家 として 指 摘 するのではなく IBMの 多 数 のWebアプリ ケーション 構 築 によるKnowledge 経 験 により 最 適 な 修 正 対 応 をサポートします 診 断 計 画 の 作 成 では お 客 様 からの 依 頼 を 受 け 身 で 計 画 するのではなく 優 先 順 位 や 中 長 期 的 な 視 点 を 含 めて 最 適 な 計 画 を 提 案 いたします スペシャリストのスキルレベル IBMセキュリティスペシャリストによるサービス 提 供 を 実 施 し お 客 様 のプロジェクト に 最 適 なスペシャリストをアサインします 良 質 なプロセスとデリバリー IBMのサービスクォリティ 過 去 の 実 績 経 験 に 基 づいたプロセス 整 備 により 品 質 の 高 いデリバリーを 提 供 します スペシャリスト 専 門 教 育 スペシャリスト 育 成 教 育 プログラムによりWebテクノロジー セキュリティに 精 通 した IBMセキュリティ 専 門 技 術 者 の 教 育 をおこなっています 機 密 情 報 管 理 セキュリティ 先 進 企 業 としての 情 報 管 理 およびISMS 認 証 取 得 による 情 報 管 理 の 徹 底 により 脆 弱 性 などのお 客 様 の 機 密 情 報 を 保 護 します 民 間 最 大 規 模 のセキュリティ 研 究 機 関 からの 情 報 により 最 新 技 術 最 新 脆 弱 セキュリティ 研 究 機 関 性 にも 対 応 した 技 術 レベルの 高 いサービスを 提 供 できます グローバル 対 応 IBMのグローバル 連 携 により 日 本 だけでなく 各 国 を 跨 いだWebアプリケーション 診 断 を 実 施 でき 現 地 での 報 告 会 もサポートします Page 13

Webアプリケーション 診 断 の 実 績 業 種 規 模 期 間 システム 形 態 内 容 金 融 230 画 面 1ヶ 月 ブラウザ サーバ インターネットバンキングシステムのサービスイン 前 のシステム 受 け 入 れテストの1つとしてWebアプ リケーション 診 断 を 実 施 金 融 80 画 面 1ヶ 月 ブラウザ サーバ 顧 客 向 け 金 融 サービスWebアプリケーションシステムに 対 してWebアプリケーション 診 断 を 実 施 証 券 30 画 面 1ヶ 月 ブラウザ サーバ 独 自 アプリ(HTTP 通 信 ) 証 券 会 社 間 (B2B)の 証 券 取 引 きシステムのWebアプリケーション 診 断 の 実 施 証 券 顧 客 向 け 独 自 アプリおよびWebアプリケーションに 対 してのセキュリティ 診 断 の 実 施 運 輸 25 画 面 3 週 間 ブラウザ サーバ 運 輸 60 画 面 1.5ヶ 月 ブラウザ サーバ 電 気 通 信 100 画 面 2ヶ 月 モバイル( 携 帯 ) サーバ 製 造 60 画 面 1ヶ 月 ブラウザ サーバ 製 造 70 画 面 1.5ヶ 月 ブラウザ サーバ Flash AMF 通 信 JavaおよびPerlで 構 築 された 人 事 情 報 小 口 精 算 等 を 含 む 社 内 ポータルシステムに 対 しての Webアプリケーション 診 断 の 実 施 SQLインジェクションの 外 部 攻 撃 により 改 竄 被 害 を 受 けた.Net Webアプリケーションに 対 する 脆 弱 性 洗 い 出 しおよび 対 策 実 施 確 認 を 目 的 としてWebアプリケーションセキュリティ 診 断 を 実 施 携 帯 電 話 専 用 Webサイトに 対 して モバイルブラウザをシミュレートしてWebアプリケーション 診 断 を 実 施 部 品 購 買 などのサプライチェーンマネジメントシステム(B2B)に 対 するWebアプリケーション 診 断 の 実 施 企 業 間 取 引 (B2B)に 使 用 されるWebアプリケーションのオンサイト 診 断 の 実 施 Flashによる 固 有 クライアント 固 有 通 信 形 態 に 対 してWebアプリケーション 診 断 を 実 施 流 通 500 画 面 1.5ヶ 月 サービス 20 通 信 1ヶ 月 ブラウザ サーバ モバイル( 携 帯 ) ブラウザ ActiveX サーバ サーバ 大 手 通 信 販 売 サイトのPCサイトおよびモバイルサイトのWebアプリケーションセキュリティ 診 断 を 実 施 金 融 向 けのWebフィッシング 対 策 ソフトウェアのセキュリティ 検 証 として 診 断 実 施 サービス 25 画 面 1ヶ 月 ブラウザ サーバ 企 業 向 けASPサービス(B2B)としての 決 済 代 行 システムのWebアプリケーション 診 断 を 実 施 サービス 150 画 面 1ヶ 月 ブラウザ サーバ 一 般 消 費 者 向 けのe-Commerceポータルサイトに 対 してWebアプリケーション 診 断 を 実 施 自 治 体 30 画 面 1ヶ 月 ブラウザ サーバ クレジットカード 納 税 システムの 実 証 実 験 としてWebアプリケーション 診 断 を 実 施 Page 14

インフラセキュリティ 診 断 の 実 績 業 種 規 模 期 間 内 容 金 融 約 50IP 2カ 月 公 開 Webサーバに 対 するオンライン 電 子 決 済 銀 行 システムに 対 する 診 断 の 実 施 金 融 約 30システム 2ヶ 月 電 子 商 取 引 システムにおける 安 全 性 検 証 通 信 会 社 約 15000IP 4ヶ 月 インターネットおよび 携 帯 電 話 からのアクセスサイトに 関 する 外 部 および 内 部 からの 各 種 セキュリティ 診 断 の 実 施 通 信 会 社 約 300IP 2カ 月 インターネットを 利 用 した 自 動 決 済 認 証 システムのシステム 内 部 に 至 るホスト 診 断 およびネットワーク 診 断 サービス 約 12000IP 2カ 月 情 報 漏 えい 問 題 対 策 としてセキュリティ 対 象 サーバおよびネットワークレンジにたいしてリモートおよびオンサイト でのネットワーク 診 断 サービス 約 100IP 2ヶ 月 ISPシステムに 対 する 外 部 からの 脆 弱 性 検 証 流 通 約 250IP 2カ 月 公 開 Webサーバ 群 に 対 する 数 十 セグメントのネットワーク 診 断 製 造 約 10システム 2カ 月 各 サービスのポータルサイト 数 十 システムに 対 するネットワーク 診 断 の 実 施 官 公 庁 約 2000IP 3ヶ 月 職 員 端 末 2000 以 上 公 開 および 内 部 サーバ200 以 上 の 全 システムに 対 するネットワーク 診 断 の 実 施 官 公 庁 約 10IPシステム 2ヶ 月 電 子 申 請 / 重 要 情 報 公 開 用 インターネットサイトに 対 する 脆 弱 性 検 証 公 共 約 40システム 1ヶ 月 インターネット/DMZ/イントラネットに 対 するネットワークセキュリティ 脆 弱 性 監 査 Page 15

IBM のセキュリティ サービスの 特 長 IBMでは セキュリティに 関 して 社 内 実 践 を 通 じて 培 われた 全 世 界 共 通 の 手 法 教 育 体 系 ノウハウを 持 っ ており セキュリティ 関 する 全 サイクルのソリューションをご 提 供 できます IBMの 情 報 セキュリティポリシー 体 系 に 基 づく 実 践 IBMの 情 報 セキュリティ 体 系 の 確 立 日 常 業 務 で 実 践 する 豊 富 で 具 体 的 なソリューション 国 際 標 準 に 基 づく 確 立 されたコンサルティング 手 法 ISO/IEC17799 BS7799-2により 認 証 取 得 支 援 GMITS ISO7489-2によるアーキテクチャ 策 定 各 種 外 部 団 体 活 動 政 府 の 各 種 セキュリティ 関 連 委 員 会 総 務 省 情 報 通 信 ソフト 懇 談 会 セキュリティワーキンググループ 経 済 産 業 省 情 報 セキュリティ 監 査 研 究 所 制 度 運 営 に 関 わる 委 員 会 日 本 情 報 処 理 開 発 協 会 (JIPDEC): ISMS 適 合 性 評 価 制 度 事 業 運 営 委 員 会 標 準 化 を 求 める 委 員 会 国 際 標 準 化 委 員 会 (ISO/IEC17799 ISMS 標 準 化 GMITS) 日 本 規 格 協 会 (ISO/IEC17799のJIS 化 など) その 他 の 各 種 団 体 活 動 幅 広 い 業 種 でのコンサルティング 実 績 流 通 製 造 金 融 運 輸 公 共 など 様 々な 業 種 受 注 製 造 物 流 販 売 経 理 など 様 々なプロ セス 各 種 業 界 での コンサルティング 実 績 IBMにおける セキュリティへの 先 進 的 取 り 組 み 上 流 行 程 から 下 流 行 程 までの IBM 総 合 支 援 上 流 ~ 下 流 工 程 までのサービスをご 提 供 情 報 セキュリティ 確 立 のサイクルでセキュリティレベルを 向 上 診 断 監 査 認 証 取 得 リスク 分 析 セキュリティポリシー 策 定 アーキテクチャ( 構 成 ) 策 定 システム 企 画 / 実 装 運 用 管 理 教 育 研 究 開 発 からサービスまでIBMの 総 合 力 暗 号 化 技 術 など 高 度 グローバル セキュリティ 研 究 所 X-Force セキュリティシステム ソフトウェア 開 発 システム 構 築 等 セキュリティシステム 構 築 アウトソーシング 等 運 用 管 理 知 的 資 産 資 格 取 得 コンサルタントの 活 動 ISMS 主 任 審 査 員 BS7799 Lead Auditorなど IT 技 術 Page 16

IBMのセキュリティ 専 門 研 究 機 関 X- Force 民 間 世 界 最 大 の 情 報 セキュリティ 研 究 機 関 による 研 究 結 果 が IBM セキュリティ 製 品 にフィードバックさ れています 研 究 技 術 開 発 ソリューション 提 供 未 知 の 脆 弱 性 の 研 究 機 知 の 脆 弱 性 の 分 析 マルウェアの 研 究 X-Force Protection Engines 既 存 検 知 エンジンの 拡 張 新 規 検 知 ロジックの 研 究 X-Force XPU s 新 規 検 知 ルールの 作 成 新 規 検 知 ルールの 品 質 管 理 最 新 の 攻 撃 手 法 の 研 究 防 御 技 術 の 研 究 X-Force Intelligence X-Force データベース 情 報 収 集 及 び 研 究 研 究 結 果 のフィードバック Page 17

Page 18