お問い合わせ・資料請求

0120-957-975

脆弱性診断サービス

ネットワーク診断

ネットワーク診断について

Webアプリケーションの脆弱性とは、お客様が作成したWebアプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突き情報の奪取などの攻撃をします。Webアプリケーションは、お客様のニーズによって様々な機能が実装されており、脆弱性が発見される箇所は千差万別です。使用するプログラミング言語も様々あり、Webアプリケーションの内容もECやゲーム、SNS、バックオフィスなど多岐にわたります。また、CMSを導入しているか否かなどといったことも考慮しなければなりません。

こうした状況において、一般的なWebアプリケーションの脆弱性として知られる「SQLインジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、熟練の知識と豊富な経験によって高められた当社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。

脆弱性を放置することは、重要な情報の漏えいなどにより自社が被害者になるだけでなく、他サイト攻撃のための踏み台にされ知らぬ間に加害者になる場合もあります。Webアプリケーションの脆弱性に対処することは非常に重要なのです。
本診断では、Web サイトにおいて、不正アクセスやマルウェアなどの被害を未然に防ぐため、内在する脆弱性を明らかにし、適切な対策方法をご提示します。診断対象は、「https」「http」の通信の際にパラメータを受け渡ししている箇所です。診断手段としては、このパラメータを正規の値ではなく、攻撃文字列に置き換え、または追加して出力される結果から脆弱性の有無を判断します。

主な診断項目

デバイスの識別の調査 ネットワーク機器、OS 種別を識別
デバイスの脆弱性の調査 デバイスの OS、ネットワーク機器ファームウェアの脆弱性の確認
実行サービスの種別の調査 実行中のサービス(http. smtp, dns 等)の識別
実行サービスの脆弱性の調査 ソフトウエアの脆弱性(Apache、IIS 古いバージョン、パッチ漏れなど)を確認
設定サービスの脆弱性の調査 サービス設定の不備の確認
(SMTP 第 3 者中継が可能、SSH アカウントがデフォルト、証明書の有効期限切れ等)
悪意のあるソフトウエアの調査 バックドアや P to P ソフトウエア等の動作確認

診断レポート

診断結果は「診断報告書」として提出いたします。診断報告書は、経営層向けのエグゼクティブサマリー(5段階の評価ランクを含む)と技術者向けに詳細レポートとして、確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確にご提示します。

エグゼクティブサマリー 診断対象のリスクを一目で把握できるように、5段階評価(A~E)とレーダーチャートによる分析で提示します。
詳細レポート 検出された脆弱性の状態やリスク、対策案を提示します。開発者が改修しやすいように再現例と発見箇所について詳しく報告。対策案として、根本的対策と保険的対策の2種類を提示します。

確認された脆弱性の影響の度合いについては、下図の通り、「攻撃難易度」と「危険度」の2つの軸による評価を行います。それにより、公開中のシステムにおいて、「危険度が高いがその脆弱性を攻撃することは難しい」場合や、「危険度は低いが容易に攻撃できてしまう」場合などを把握できるため、リスクの高さを相対的に判断することが可能になる、といったメリットがあります。
この脆弱性の2軸評価は、サイバートラストならではのサービスであり、多くのお客様に高く評価されています。

リスク評価基準
リスク評価
マトリクス
攻撃難易度
危険度 4:緊急 3:高 2:中
2:中 2:中 1:低
1:無 1:低 1:低
0:無 0:無 0:無
危険度評価基準
システムの侵入やページの改ざん、機密情報漏洩につながる指摘事項(SDLインジェクション・クロスサイトスクリプティングなど)
システムの停止やシステム設定情報の漏洩につながる指摘事項(DoS攻撃・設定パラメータの漏洩など)
システムのバナー情報等、直接的にシステムへの侵入につながらない指摘事項(サーバサービスのバージョン取得・不要なオープンポートなど)
攻撃難易度評価基準
簡単に手に入るツールなどによって、用意に攻撃を行うことが可能
特定の条件をクリアすることによって攻撃を行うことが可能
攻撃を行うためには非常に複雑な条件をクリアする必要がある

詳細はお問い合わせください

お問い合わせ