資料のダウンロードはこちら 025_weakness

by user

on 28 марта 2017

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download 資料のダウンロードはこちら 025_weakness

Transcript

資料のダウンロードはこちら 025_weakness

IUK 脆弱性診断サービス
（今、どうなっているの？このシステム公開して大丈夫？）
第二版
2016.07.20
システムの健全性・システムの見える化を実施
監査対応にもご用達！
株式会社アイ・ユー・ケイ
営業本部営業推進部
IUK-Secwise Series
アイ・ユー・ケイご提供セキュリティサービス体系
＊黄色文字は、大人気サービスです
IUKMSS&I SOC 『みにそっく』
事前脆弱性診断
二次分析
FFR Yarai支援サービス
超みにそっく月次レポート
資産棚卸
二次分析
IUKMSS&I (アイ・ユー・ケイマネージドセキュリティサービス)
定期脆弱性診断
脅威検知・異常検知モニタリング（先進数学理論を活用した機械学習による未知の振る舞い検知をサポート（＊予定）
メール攻撃対策
シミュレーション
セキュリティ機器ログ解析サービス（＊予定）マルウェア追跡サービスセキュリティ定期健診サービス
（Yarai+SML)
アイ・ユー・ケイ
サポートデスク
サービス
セキュリティソリューション設計導入支援サポート
前対策
セキュリティ対策検討会
１０万円～／回
検知
通知
隔離
追跡
解析
分析
防御
検証
セキュリティアプローチ・コンサルティング
対策
Firewall/IDS/IPS/Sandbox/Endpoint/WAF/Monitoring/ Log Analysis/VDI
セキュリティ問診サービス
１０万円～/月
マルウェア対策／メール無害化ソリューション（内部情報漏洩対策）『SYNCDOT SanitizeFilter』
インターネット接続分離内部情報漏えいネットワークコンテナ化『 i-container / s-container』/ IUKSYNC高速ファイル転送
広告
box
FFR
Yarai
Palo
alto
多層防御でサーバの要塞化対策『SHieldWARE white list』
DigitalFire
COMCIPHER
SHield
System
pelsona
SML
(AES)
Answer G2
ware
eye
altus
MOON
WARKER
MOBOTIX
VDI
アイ・ユー・ケイ脆弱性診断プログラム
IUK Security Diagnostic Program
不正アクセスやＤＤｏｓ攻撃などのサイバー攻撃は増加の一途をたどり、
大企業から中小企業まで休みなく攻撃を受け続けている現実は脅威そのものです。
セキュリティ攻撃に対する対応は、稼働中のシステムに対するものだけではなく、
新規業務システムを構築する段階から対策が必要とされています。
アイ・ユー・ケイでは、システム基盤技術支援やシステム構築の実績を踏まえ、
セキュリティ専門会社とは違う価値を、アイ・ユー・ケイ脆弱性診断サービスをご提供いたします。
アイ・ユー・ケイ
セキュリティ監視サービス
セキュリティ基盤構築
システム運用管理
システム環境設計
・テスト・技術支援
脆弱性診断サービス
業務システム
脆弱性診断
セキュリティ監視
資産管理分析業務
ネットワーク機器
サーバーＰＣ
セキュリティ機器
ソフトウェア
ネットワーク運用
業務システム稼動監視サービス
システム全体お客様相談窓口
システムインテグレーターだからこそ、システム全体を見ることができる。アイユーケイだからこそ、企業様の個別ニーズに合わせたサービス提供ができる
セキュリティサービスメニューがあるからこそ、ニーズに合わせたサービスをご提案できる、それがアイ・ユー・ケイです。
ネットワーク、ＯＳ、Ｗｅｂアプリケーション、ミドルウェアに
おけるさまざまな脆弱性の有無を、診断ツールおよび専門
家による手動診断で調べあげ、問題点に対する対策をご
提示します。
すべてのセキュリティ事件（攻撃、情報漏えい、ウイルス感染など）は、放置された脆弱性から発生します。
脆弱性に対処するためには、システムに対するセキュリティ上の問題点を把握することから始まります。
セキュリティ診断サービス
お客様のニーズに合わせて、診断計画を策定
手動とセキュリティ診断ツールを組み合わせて効果的にチェック
実績で培われたノウハウを活かしたアドバイス
定期的な診断実施により、継続的にセキュリティ対策をサポート
インターネット経由で
外部から見える脆弱性を
調査
お客様のシステム環境に診断ＰＣを接続し、
内部セグメントから脆弱性を調査
ＩＵＫ脆弱性診断プログラムメニュー
Ｗｅｂアプリケーション診断
Ｗｅｂアプリケーション診断では、Ｗｅｂアプ
リケーションに対して攻撃者の支店でアクセス
を行い、Ｗｅｂアプリ特性の脆弱性について分
析します。クロスサイト／スクリプティングや
ＳＱＬインジェクションなど、Ｗｅｂアプリに
特化した脆弱性を検出したい場合などに有効な
診断方法です。
当診断で検出可能な主要項目例
・クロスサイトスクリプティングが実行できないか
・ＳＱＬインジェクションが実行できないか
・セッション管理方法が適切か
・機密情報を取扱うページの暗号化が適切に行われ
ているか
・暗号化が適切に行われているか
ネットワーク診断
ネットワーク診断では、診断対象に対してネッ
トワーク越しに調査パケットを送信することで
不正侵入に利用されやすいＯＳやアプリの設定、
セキュリティホールについて分析します。
外部から確認できる脆弱性を検出したい場合に
有効な診断方法です。
当診断で検出可能な主要項目例
・不正なサービスが起動していないか
・侵入されやすいアカウントやパスワードはないか
・搭載しているアプリに既知の脆弱性はないか
・サービス不能攻撃への対処が行われているか
・アクセス制御が適切に行われているか
ホスト診断
ホスト診断は、診断対象上で診断ツールを実行
し、サーバー内部の設定値やファイルを直接調
査することでシステム内部に存在する脆弱な構
成について分析します。システム内部から確認
できる脆弱性を検出したい場合に有効な新ｄ何
方法です。
当診断で検出可能な主要項目例
・重要なシステムファイルに適切なアクセス権が
与えられているか
・アカウントやパスワードが適切に管理されているか
・システムの不正使用された痕跡はないか
・ＯＳやアプリにパッチが適用されているか
・監査ログを適切に取得しているか
脆弱性診断サービスをご採用いただく局面例
システム運用開始前、
Webサイト公開前の脆弱性有無の確認
本番運用開始前の最終チェック
第三者チェックによる信頼性向上
情報セキュリティ監査、全社ＩＣＴ統制の
定期検査として実施
定期的な検査が必要です
システム開発ベンダー以外の会社による検査が
求められています
セキュリティ診断ツールでは
調査できない詳細な診断が必要
スペシャリストによる手動診断と
診断ツール併用による総合的診断
乱立したサーバーのセキュリティレベル
チェックと品質の向上対策
多くのシステムの品質チェックが行えます
診断の目的と診断内容（例）
ネットワーク診断では、診断対象に対してネットワーク越しに調査パケットを送信することで、不正侵入に利用されやすいOSやアプリケーショ
ンの設定、セキュリティホールについて分析します。
外部から確認できるぜい弱性を検出したい場合に有効な診断方法です。検出可能な主な項目例
•攻撃者がシステムにしかけたバックドアがないか
•不要なサービスが起動していないか
•侵入されやすいアカウントやパスワードがないか
•Webを使用する CGI ファイルやプログラムにぜい弱性がないか
•サービス不能攻撃への対処が行われているか
ホスト診断では、診断対象上で診断ツールを実行し、サーバ内の設定値やファイルを直接調査することで、システム内部に存在するぜい弱な
構成について分析します。
システム内部から確認できるぜい弱性を検出したい場合に有効な診断方法です。検出可能な主な項目例
•アカウントやパスワードが適切に管理されているか
•システムを不正利用された痕跡はないか
•OSやアプリケーションにパッチが適用されているか
•監査ログを適切に取得しているか
•共有フォルダのアクセス権は適切か
Ｗｅｂアプリケーション診断では、Webサーバに対してネットワーク越しに調査パケットを送信することで、Webアプリケーションのぜい弱性を分
析します。
Webアプリケーションに特化したぜい弱性を検出したい場合に有効な診断方法です。検出可能な主な項目例
クロスサイトスクリプティングが実行できないか
SQLインジェクションが実行できないか
不正アクセスやなりすましによるログインが適切に制御されているか
認証後ページのアクセス管理が適切におこなわれているか
重要情報を取り扱うページの暗号化が適切に行われているか
サービスご提供の流れ
システム環境や診断のご
要望をお伺いし、お客様
に適した診断計画を立案
いたします。
診断ツールと専門化の手
動による診断を併用し、
脆弱性を検出します。
診断結果を報告書にまと
め、ご報告します。
検出された脆弱性、報告
書の記載内容についての
お問い合わせに回答いた
します。
ネットワーク診断内容
脆弱性分類
CGI スクリプト
DoS
FTPサーバ
メールサーバ
NetBIOS
レジストリ
リモートアクセス
RPCサービス
SSHサーバ
Webサーバ
バックドア
ユーザー
ピアツーピアー
スパイウェア
診断内容
セキュリティ脆弱性を持つＣＧＩスクリプトが存在するかどうかを確認します
ICMP フラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフライ
ンにするなどといったサービス妨害を引き起こす、サービス妨害攻撃に対する耐性を確認しま
す。
ファイル転送プロトコルに関する脆弱性を調査します。
SMTP、IMAP、POP2、POP3やその他インターネットメールサーバの脆弱性を調査します。
NETBIOSプロトコルの脆弱性を調査します。リモートのWindows ファイル共有内のパー
ミッション問題を検出します。
脆弱性確認に利用可能なレジストリ値の存在を確認します。
リモートアクセスエージェントの脆弱性を調査します。
Remote Procedure Call(RPC)サービスの脆弱性を調査します。
Secure Shell サーバの脆弱性を調査します。
WWWサーバの脆弱性を調査します。
ポートスキャンとプロトコル判定機能によりバックドアプログラムによって稼動するオープン
ポートを検出します。
脆弱な設定が行われているユーザーを検出します。
ポートスキャンや稼働プロセスの調査によりP2Pプログラムの稼働を調査します。
ポートスキャンや稼働プロセスの調査によりスパイウェアプログラムの稼働を調査します。
ホスト・サーバー診断内容
セキュリティパッチ
パスワード設定
アカウント設定
ぜい弱性分類
診断内容
セキュリティパッチ
最新のセキュリティパッチが適用されているかを確認します。
最小パスワード長
最小パスワード長がしきい値以上に設定されているかを確認します。
パスワードの有効期間
パスワードの有効期間がしきい値以下に設定されているかを確認します。
パスワードの変更禁止期間
パスワードの変更禁止期間がしきい値以上に設定されているかを確認します。
パスワードの履歴保持数
パスワードの履歴の保存数がしきい値以上に設定されているかを確認します。
パスワードが未設定のアカウント
パスワードのないアカウントの検出を試みます。
パスワードが推測可能なアカウント簡単に推測できるパスワード持つアカウントの検出を試みます。
パスワードを変更できないアカウントパスワードを変更できないアカウントの検出を試みます。
無期限のパスワードを持つアカウント無期限パスワードを持つアカウントの検出を試みます。
パスワードの変更警告期間
パスワードの変更警告期間がしきい値以上に設定されているかを確認します。
長期間パスワードが変更されていな同じパスワードを使用しつづけているアカウントの検出を試みます。
いアカウント
パスワードロックされているアカウントパスワードロックされているアカウントの検出を試みます。
ユーザー権利の割り当て
ユーザー権利の割り当て状況を確認します。
管理ユーザーの変名
Administrator アカウント名が変更されているかを確認します。
ゲストユーザーの変名
Guest アカウント名が変更されているかを確認します。
アカウントのログオン時間
ログオン時間に制限のないアカウントの検出を試みます。
アカウントのログオン先
ログオンできるワークステーションに制限のないアカウントの検出を試みます。
アカウントの有効期限
有効期限のないアカウントの検出を試みます。
管理ユーザー
ユーザーアカウントが正しく設定されているかを確認します。(passwd ファイ
ルの設定、ID重複の有無など)
システムに存在するアカウントの設定無期限パスワードを持つアカウントの検出を試みます。
ホームディレクトリの設定
アカウントのホームディレクトリが正しく所有されているかを確認します。(所有
者、パーミッションなど)
特権を持つアカウント/グループ
特権を持っている可能性のあるアカウント/グループを検出します。
ログインシェルの設定
ログインシェルが正しく設定されているかを確認します。(所有者、パーミッション
shellsファイル登録など)
OS種別
共通
共通
共通
共通
共通
共通
共通
Windows
Windows
UNIX
UNIX
UNIX
Windows
Windows
Windows
Windows
Windows
Windows
共通
UNIX
UNIX
UNIX
UNIX
ログイン設定
ネットワーク設定
監査設定
スタートアップ設定
アカウントロック
アカウントロックの回数
アカウントロックの期間
アカウントのロックアウトは有効に設定されているかを確認します。
ロックアウト回数が適切に設定されているかを確認します。
ロックアウトカウンタをリセットする時間がしきい値以上に設定されているかを確認します。
Windows
Windows
Windows
アカウントロックのリセット
ロックアウトカウンタをリセットする時間がしきい値以上に設定されているかを確認します。
Windows
休止アカウント
ログオン前のメッセージ
前回ログオンしたアカウント名
休止アカウント(X日以上ログインされていないアカウント)の検出を試みます。
ログオン前のユーザーへのメッセージ通知設定を確認します。
ログオンダイアログボックスでユーザー名を表示しない設定になっているかを確認します。
共通
Windows
Windows
ログオンダイアログボックスからのシャットダログオンダイアログボックスでシャットダウンできない設定になっているかを確認します。
ウン
ログオン時間
ログオン時間をオーバーしたユーザーは強制切断される設定になっているかを確認します。
Windows
管理ユーザーのリモートログイン
ドメインの信頼関係
共有ディレクトリの存在
フルコントロール可能な共有ディレクトリ
共有ディレクトリのアクセス権
RRASサービス
起動中のサービス
sendmailの設定
FTPの設定
FTPの無効化
成功の監査
失敗の監査
セキュリティイベントログの保持
セキュリティイベントログのサイズ
イベントログの記録
プロセスアカウント
ログインログの記録
SUコマンドの記録
インストールされているサービス
リモートからのレジストリアクセス
RCファイルの設定
ディスクの空き容量
スタートアップファイル
UNIX
Windows
Windows
Windows
Windows
Windows
共通
UNIX
UNIX
UNIX
Windows
Windows
Windows
Windows
UNIX
UNIX
UNIX
UNIX
共通
Windows
UNIX
UNIX
UNIX
rootアカウントでのリモートログインが制限されているかを確認します。
共有ディレクトリの検出を試みます。
Administrator アカウント名が変更されているかを確認します。
[Everyone]グループにフルコントロールを与えている共有ディレクトリの検出を試みます。
共有ディレクトリに設定されているアクセス権の検出を試みます。
リモートアクセスサービス(RRAS)が無効に設定されているかを確認します。
明示的にオープンされているTCP/UDPポートの検出を試みます。
sendmailが正しく設定されているかを確認します。
FTPが正しく設定されているかを確認します。
TFTPが無効に設定されているかを確認します。
共有ディレクトリの検出を試みます。
失敗監査ポリシーの設定を確認します。
セキュリティイベントのログのサイズがしきい値以上に設定されているかを確認します。
セキュリティイベントのログ記録が上書き禁止に設定されているかを確認します。
イベントログ記録が有効に設定されているかを確認します。
プロセスアカウントが有効に設定されているかを確認します。
ログインログの記録が有効に設定されているかを確認します。
SU コマンドログの記録が有効に設定されているかを確認します。
共有ディレクトリの検出を試みます。
リモートレジストリアクセスが禁止に設定されているかを確認します。
rc スクリプトファイルが正しく設定されているかを確認します。
ディスクの空き容量が十分かを確認します。
ユーザースタートアップファイルが正しく設定されているかを確認します。(パーミッション、PATH、
UMASK(しきい値以上)など)
ホームディレクトリ配下のファイル、ディレクユーザーホームディレクトリ下のファイル/ディレクトリが正しく設定されているかを確認します。(所有者、
トリ
パーミッション、不審なファイルの存在など)
Windows
UNIX
Ｗｅｂアプリケーション診断内容
サーバ設定
認証
セッション管理
暗号化
パラメーター改竄
その他
脆弱性分類
製品の設定ミス
製品の既知の脆弱性
認証方式
パスワード強度
権限昇格
セッション管理方式
セッションID強度
セッションのライフサイクル
通信の暗号化
証明書
クロスサイトスクリプティング
コマンドインジェクション
SQLインジェクション
パラメーター改竄
バッファオーバーフロー
強制ブラウジング
ディレクトリトラバーサル
Hiddenフィールドの改竄
エラー処理
診断内容
不要なメソッドの存在や、不適切な設定の存在を確認します。
使用しているミドルウェア製品の既知の脆弱性の存在を確認します。
脆弱な認証方式を採用していないかを確認します。
認証で使用しているパスワードルールが適切であるかを確認します。
ユーザーの権限の昇格ができないかを確認します。
脆弱なセッション管理方式を使用していないかを確認します。
セッションIDの強度を確認します。
セッションIDの再利用ができないことを確認します。
重要な情報が暗号化して送信されていることを確認します。
サーバ証明書の内容が適切であるかを確認します。
重要な情報が暗号化して送信されていることを確認します。
OSコマンドを実行できないかを確認します。
SQLコマンドを実行できないかを確認します。
パラメーター値を不正に改竄した値が受け付けられないかを確認します。
パラメーター値を不正に改竄した値が受け付けられないかを確認します。
公開されていない重要データに直接アクセスできないことを確認します。
相対パスを使用してディレクトリ移動できないことを確認します。
Hiddenフィールドの受け渡しに起因する問題がないかを確認します。
エラー処理が適切に行われ、過剰な情報をエラーメッセージに含めてい
ないかを確認します。
クロスサイトリクエストフォージェリクロスサイトリクエストフォージェリが実行できないかを確認します。
クライアントのセキュリティ
クライアントのセキュリティを考慮しているかを確認します。
ソース中のコメント
HTMLソースファイル内に過剰な情報が含まれていないかを確認します
サービスをご提供するための素材例
ネットワーク診断
ホスト診断
Webアプリケーション診断
Retina、Nessus
Assuria Auditor(旧System Scanner)(Assuria Limited.)、
セキュドック(東芝ITサービス株式会社)
AppScan(IBM Corporation.)
VEX(株式会社ユービーセキュア)