サイバートラスト

Webスキャナー

Webスキャナーの特長

簡単な導入と運用が可能な、完全クラウド型脆弱性診断

  • Webサーバーにエージェントやソフトウェア等のインストール、特別な機器の導入などは一切不要です。
  • ハッカーの立場でクラウド側から検査。
  • 完全自動の定期脆弱性診断サービスです。
  • プラットフォームとWebアプリケーションの両方を検査
  • ネットワークに影響を与えない非侵襲的(非破壊的)検査のみを実行

世界的に信頼性の高い診断エンジンを採用

  • PCI-DSS(※)の認定ベンダーが提供する診断エンジンを採用
  • セキュリティーに厳格なカード業界品質の診断サービス
  • 診断エンジンは世界的な企業や軍、セキュリティベンダにも採用されています

※PCI DSS(Payment Card Industry Data Security Standard:PCIデータセキュリティスタンダード)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

最高水準の脆弱性データベースに基づき診断

  • ITセキュリティーの情報ポータルSecuriteam.comの情報を元に、日々、検査パターンを作成・更新
  • 13,000以上の脆弱性項目(Lightでは10,000以上)と、5,000以上の攻撃スクリプトを蓄積

Webスキャナーによる脆弱性診断のしくみ

Webスキャナーは、3つのフェーズでWebサーバーに診断を実施します。

ネットワーク診断
(1) ネットワーク診断・基本項目診断

既知のポートに対してスキャンを実行、ネットワーク層の脆弱性を検査します。
不必要に開いているポートや、サービスの有無を調査、不要なサービスがあれば設定情報を収集、脆弱性データベースと照合し、潜在的な脆弱性があれば、検査を実施します。

Webアプリケーション診断
(2) クローリング

スキャン実施前に診断対象のWebサイトの情報を収集、診断すべき対象のURLを抽出します。

(3) スキャン実施

Webサイトのページ、アプリケーション、Webサーバを検査し、攻撃に利用可能な脆弱性やセキュリティホールをスキャンします。 主にWebサイトのコード、サーバー設定のエラーなどを検知し、Webサイトの抱えるセキュリティリスクを診断します。
診断対象は外部から定期的に検査する事で常に最新の脆弱性にも対応する事が可能です。
診断時間は、Webサイトの規模や動的ページの数により変動します。

セキュリティー検査項目

Webスキャナーの脆弱性データベースには、13,000の脆弱性項目と、5,000以上の攻撃スクリプトが蓄積されています。Webスキャナーが提供する診断サービスは、Webアプリケーションだけではなく、ネットワークやデータベースの脆弱性を診断できる業界で唯一の診断サービスです。

主な検査項目には次のような項目があります。

  • バックドア
  • リモートコントロール
  • ブルートフォース攻撃
  • CGIとFORM処理の脆弱性(SQLインジェクションを含む)
  • デフォルトパスワード
  • 全データベースサーバ
  • 全マイクロソフトのバージョン
  • 全UNIXとLinuxのバージョン
  • Eメールサービス
  • リモート管理アクセス
  • リモートデータベースアクセス
  • リモートファイルアクセス
  • 全TCPポート
  • RPC
  • SMB/NetBIOS
  • ICMP
  • HTTPサービス(クロスサイトスクリプティングを含む)
  • SNMP
  • SMTP
  • UDP
  • FTPとTelnet
  • ルーターとロードバランサー
  • Firewallとアドレススイッチ

上記の検査項目の中で、赤色で表示している以下の項目はWebスキャナーLightでは検査項目に含まれません。
・CGIとFORM処理の脆弱性(SQLインジェクションを含む)
・HTTPサービス(クロスサイトスクリプティングを含む)