Comments
Description
Transcript
資料のダウンロードはこちら 025_weakness
IUK 脆弱性診断サービス (今、どうなっているの?このシステム公開して大丈夫?) 第二版 2016.07.20 システムの健全性・システムの見える化を実施 監査対応にもご用達! 株式会社アイ・ユー・ケイ 営業本部 営業推進部 IUK-Secwise Series アイ・ユー・ケイご提供セキュリティサービス体系 *黄色文字は、大人気サービスです IUKMSS&I SOC 『みにそっく』 事前脆弱性診断 二次分析 FFR Yarai支援サービス 超みにそっく 月次レポート 資産棚卸 二次分析 IUKMSS&I (アイ・ユー・ケイマネージドセキュリティサービス) 定期脆弱性診断 脅威検知・異常検知モニタリング (先進数学理論を活用した機械学習による未知の振る舞い検知をサポート(*予定) メール攻撃対策 シミュレーション セキュリティ機器ログ解析サービス(*予定) マルウェア追跡サービス セキュリティ定期健診サービス (Yarai+SML) アイ・ユー・ケイ サポートデスク サービス セキュリティソリューション設計導入支援サポート 前対策 セキュリティ対策検討会 10万円~/回 検知 通知 隔離 追跡 解析 分析 防御 検証 セキュリティアプローチ・コンサルティング 対策 Firewall/IDS/IPS/Sandbox/Endpoint/WAF/Monitoring/ Log Analysis/VDI セキュリティ問診サービス 10万円~/月 マルウェア対策/メール無害化ソリューション(内部情報漏洩対策) 『SYNCDOT SanitizeFilter』 インターネット接続分離内部情報漏えい ネットワークコンテナ化 『 i-container / s-container』/ IUKSYNC高速ファイル転送 広告 box FFR Yarai Palo alto 多層防御でサーバの要塞化対策 『SHieldWARE white list』 DigitalFire COMCIPHER SHield System pelsona SML (AES) Answer G2 ware eye altus MOON WARKER MOBOTIX VDI アイ・ユー・ケイ 脆弱性診断プログラム IUK Security Diagnostic Program 不正アクセスやDDos攻撃などのサイバー攻撃は増加の一途をたどり、 大企業から中小企業まで休みなく攻撃を受け続けている現実は脅威そのものです。 セキュリティ攻撃に対する対応は、稼働中のシステムに対するものだけではなく、 新規業務システムを構築する段階から対策が必要とされています。 アイ・ユー・ケイでは、システム基盤技術支援やシステム構築の実績を踏まえ、 セキュリティ専門会社とは違う価値を、アイ・ユー・ケイ脆弱性診断サービスをご提供いたします。 アイ・ユー・ケイ セキュリティ監視サービス セキュリティ基盤構築 システム運用管理 システム環境設計 ・テスト・技術支援 脆弱性診断サービス 業務システム 脆弱性診断 セキュリティ監視 資産管理 分析業務 ネットワーク機器 サーバーPC セキュリティ機器 ソフトウェア ネットワーク運用 業務システム稼動監視サービス システム全体お客様相談窓口 システムインテグレーターだからこそ、システム全体を見ることができる。アイユーケイだからこそ、企業様の個別ニーズに合わせたサービス提供ができる セキュリティサービスメニューがあるからこそ、ニーズに合わせたサービスをご提案できる、それが アイ・ユー・ケイです。 ネットワーク、OS、Webアプリケーション、ミドルウェアに おけるさまざまな脆弱性の有無を、診断ツールおよび専門 家による手動診断で調べあげ、問題点に対する対策をご 提示します。 すべてのセキュリティ事件(攻撃、情報漏えい、ウイルス感染など)は、放置された脆弱性から発生します。 脆弱性に対処するためには、システムに対するセキュリティ上の問題点を把握することから始まります。 セキュリティ診断サービス お客様のニーズに合わせて、診断計画を策定 手動とセキュリティ診断ツールを組み合わせて効果的にチェック 実績で培われたノウハウを活かしたアドバイス 定期的な診断実施により、継続的にセキュリティ対策をサポート インターネット経由で 外部から見える脆弱性を 調査 お客様のシステム環境に診断PCを接続し、 内部セグメントから脆弱性を調査 IUK脆弱性診断プログラムメニュー Webアプリケーション診断 Webアプリケーション診断では、Webアプ リケーションに対して攻撃者の支店でアクセス を行い、Webアプリ特性の脆弱性について分 析します。クロスサイト/スクリプティングや SQLインジェクションなど、Webアプリに 特化した脆弱性を検出したい場合などに有効な 診断方法です。 当診断で検出可能な主要項目例 ・クロスサイトスクリプティングが実行できないか ・SQLインジェクションが実行できないか ・セッション管理方法が適切か ・機密情報を取扱うページの暗号化が適切に行われ ているか ・暗号化が適切に行われているか ネットワーク診断 ネットワーク診断では、診断対象に対してネッ トワーク越しに調査パケットを送信することで 不正侵入に利用されやすいOSやアプリの設定、 セキュリティホールについて分析します。 外部から確認できる脆弱性を検出したい場合に 有効な診断方法です。 当診断で検出可能な主要項目例 ・不正なサービスが起動していないか ・侵入されやすいアカウントやパスワードはないか ・搭載しているアプリに既知の脆弱性はないか ・サービス不能攻撃への対処が行われているか ・アクセス制御が適切に行われているか ホスト診断 ホスト診断は、診断対象上で診断ツールを実行 し、サーバー内部の設定値やファイルを直接調 査することでシステム内部に存在する脆弱な構 成について分析します。システム内部から確認 できる脆弱性を検出したい場合に有効な新d何 方法です。 当診断で検出可能な主要項目例 ・重要なシステムファイルに適切なアクセス権が 与えられているか ・アカウントやパスワードが適切に管理されているか ・システムの不正使用された痕跡はないか ・OSやアプリにパッチが適用されているか ・監査ログを適切に取得しているか 脆弱性診断サービスをご採用いただく局面例 システム運用開始前、 Webサイト公開前の脆弱性有無の確認 本番運用開始前の最終チェック 第三者チェックによる信頼性向上 情報セキュリティ監査、全社ICT統制の 定期検査として実施 定期的な検査が必要です システム開発ベンダー以外の会社による検査が 求められています セキュリティ診断ツールでは 調査できない詳細な診断が必要 スペシャリストによる手動診断と 診断ツール併用による総合的診断 乱立したサーバーのセキュリティレベル チェックと品質の向上対策 多くのシステムの品質チェックが行えます 診断の目的と診断内容(例) ネットワーク診断では、診断対象に対してネットワーク越しに調査パケットを送信することで、不正侵入に利用されやすいOSやアプリケーショ ンの設定、セキュリティホールについて分析します。 外部から確認できるぜい弱性を検出したい場合に有効な診断方法です。 検出可能な主な項目例 •攻撃者がシステムにしかけたバックドアがないか •不要なサービスが起動していないか •侵入されやすいアカウントやパスワードがないか •Webを使用する CGI ファイルやプログラムにぜい弱性がないか •サービス不能攻撃への対処が行われているか ホスト診断では、診断対象上で診断ツールを実行し、サーバ内の設定値やファイルを直接調査することで、システム内部に存在するぜい弱な 構成について分析します。 システム内部から確認できるぜい弱性を検出したい場合に有効な診断方法です。 検出可能な主な項目例 •アカウントやパスワードが適切に管理されているか •システムを不正利用された痕跡はないか •OSやアプリケーションにパッチが適用されているか •監査ログを適切に取得しているか •共有フォルダのアクセス権は適切か Webアプリケーション診断では、Webサーバに対してネットワーク越しに調査パケットを送信することで、Webアプリケーションのぜい弱性を分 析します。 Webアプリケーションに特化したぜい弱性を検出したい場合に有効な診断方法です。 検出可能な主な項目例 クロスサイトスクリプティングが実行できないか SQLインジェクションが実行できないか 不正アクセスやなりすましによるログインが適切に制御されているか 認証後ページのアクセス管理が適切におこなわれているか 重要情報を取り扱うページの暗号化が適切に行われているか サービスご提供の流れ システム環境や診断のご 要望をお伺いし、お客様 に適した診断計画を立案 いたします。 診断ツールと専門化の手 動による診断を併用し、 脆弱性を検出します。 診断結果を報告書にまと め、ご報告します。 検出された脆弱性、報告 書の記載内容についての お問い合わせに回答いた します。 ネットワーク診断内容 脆弱性分類 CGI スクリプト DoS FTPサーバ メールサーバ NetBIOS レジストリ リモートアクセス RPCサービス SSHサーバ Webサーバ バックドア ユーザー ピアツーピアー スパイウェア 診断内容 セキュリティ脆弱性を持つCGIスクリプトが存在するかどうかを確認します ICMP フラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフライ ンにするなどといったサービス妨害を引き起こす、サービス妨害攻撃に対する耐性を確認しま す。 ファイル転送プロトコルに関する脆弱性を調査します。 SMTP、IMAP、POP2、POP3やその他インターネットメールサーバの脆弱性を調査します。 NETBIOSプロトコルの脆弱性を調査します。リモートのWindows ファイル共有内のパー ミッション問題を検出します。 脆弱性確認に利用可能なレジストリ値の存在を確認します。 リモートアクセスエージェントの脆弱性を調査します。 Remote Procedure Call(RPC)サービスの脆弱性を調査します。 Secure Shell サーバの脆弱性を調査します。 WWWサーバの脆弱性を調査します。 ポートスキャンとプロトコル判定機能によりバックドアプログラムによって稼動するオープン ポートを検出します。 脆弱な設定が行われているユーザーを検出します。 ポートスキャンや稼働プロセスの調査によりP2Pプログラムの稼働を調査します。 ポートスキャンや稼働プロセスの調査によりスパイウェアプログラムの稼働を調査します。 ホスト・サーバー診断内容 セキュリティパッチ パスワード設定 アカウント設定 ぜい弱性分類 診断内容 セキュリティパッチ 最新のセキュリティパッチが適用されているかを確認します。 最小パスワード長 最小パスワード長がしきい値以上に設定されているかを確認します。 パスワードの有効期間 パスワードの有効期間がしきい値以下に設定されているかを確認します。 パスワードの変更禁止期間 パスワードの変更禁止期間がしきい値以上に設定されているかを確認します。 パスワードの履歴保持数 パスワードの履歴の保存数がしきい値以上に設定されているかを確認します。 パスワードが未設定のアカウント パスワードのないアカウントの検出を試みます。 パスワードが推測可能なアカウント 簡単に推測できるパスワード持つアカウントの検出を試みます。 パスワードを変更できないアカウント パスワードを変更できないアカウントの検出を試みます。 無期限のパスワードを持つアカウント 無期限パスワードを持つアカウントの検出を試みます。 パスワードの変更警告期間 パスワードの変更警告期間がしきい値以上に設定されているかを確認します。 長期間パスワードが変更されていな 同じパスワードを使用しつづけているアカウントの検出を試みます。 いアカウント パスワードロックされているアカウントパスワードロックされているアカウントの検出を試みます。 ユーザー権利の割り当て ユーザー権利の割り当て状況を確認します。 管理ユーザーの変名 Administrator アカウント名が変更されているかを確認します。 ゲストユーザーの変名 Guest アカウント名が変更されているかを確認します。 アカウントのログオン時間 ログオン時間に制限のないアカウントの検出を試みます。 アカウントのログオン先 ログオンできるワークステーションに制限のないアカウントの検出を試みます。 アカウントの有効期限 有効期限のないアカウントの検出を試みます。 管理ユーザー ユーザー アカウントが正しく設定されているかを確認します。(passwd ファイ ルの設定、ID重複の有無など) システムに存在するアカウントの設定無期限パスワードを持つアカウントの検出を試みます。 ホームディレクトリの設定 アカウントのホームディレクトリが正しく所有されているかを確認します。(所有 者、パーミッションなど) 特権を持つアカウント/グループ 特権を持っている可能性のあるアカウント/グループを検出します。 ログインシェルの設定 ログインシェルが正しく設定されているかを確認します。(所有者、パーミッション shellsファイル登録など) OS種別 共通 共通 共通 共通 共通 共通 共通 Windows Windows UNIX UNIX UNIX Windows Windows Windows Windows Windows Windows 共通 UNIX UNIX UNIX UNIX ログイン設定 ネットワーク設定 監査設定 スタートアップ設定 アカウントロック アカウントロックの回数 アカウントロックの期間 アカウントのロックアウトは有効に設定されているかを確認します。 ロックアウト回数が適切に設定されているかを確認します。 ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します。 Windows Windows Windows アカウントロックのリセット ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します。 Windows 休止アカウント ログオン前のメッセージ 前回ログオンしたアカウント名 休止アカウント(X日以上ログインされていないアカウント)の検出を試みます。 ログオン前のユーザーへのメッセージ通知設定を確認します。 ログオン ダイアログ ボックスでユーザー名を表示しない設定になっているかを確認します。 共通 Windows Windows ログオンダイアログボックスからのシャットダ ログオン ダイアログ ボックスでシャットダウンできない設定になっているかを確認します。 ウン ログオン時間 ログオン時間をオーバーしたユーザーは強制切断される設定になっているかを確認します。 Windows 管理ユーザーのリモートログイン ドメインの信頼関係 共有ディレクトリの存在 フルコントロール可能な共有ディレクトリ 共有ディレクトリのアクセス権 RRASサービス 起動中のサービス sendmailの設定 FTPの設定 FTPの無効化 成功の監査 失敗の監査 セキュリティイベントログの保持 セキュリティイベントログのサイズ イベントログの記録 プロセスアカウント ログインログの記録 SUコマンドの記録 インストールされているサービス リモートからのレジストリアクセス RCファイルの設定 ディスクの空き容量 スタートアップファイル UNIX Windows Windows Windows Windows Windows 共通 UNIX UNIX UNIX Windows Windows Windows Windows UNIX UNIX UNIX UNIX 共通 Windows UNIX UNIX UNIX rootアカウントでのリモートログインが制限されているかを確認します。 共有ディレクトリの検出を試みます。 Administrator アカウント名が変更されているかを確認します。 [Everyone]グループにフルコントロールを与えている共有ディレクトリの検出を試みます。 共有ディレクトリに設定されているアクセス権の検出を試みます。 リモート アクセス サービス(RRAS)が無効に設定されているかを確認します。 明示的にオープンされているTCP/UDPポートの検出を試みます。 sendmailが正しく設定されているかを確認します。 FTPが正しく設定されているかを確認します。 TFTPが無効に設定されているかを確認します。 共有ディレクトリの検出を試みます。 失敗監査ポリシーの設定を確認します。 セキュリティ イベントのログのサイズがしきい値以上に設定されているかを確認します。 セキュリティ イベントのログ記録が上書き禁止に設定されているかを確認します。 イベントログ記録が有効に設定されているかを確認します。 プロセス アカウントが有効に設定されているかを確認します。 ログインログの記録が有効に設定されているかを確認します。 SU コマンドログの記録が有効に設定されているかを確認します。 共有ディレクトリの検出を試みます。 リモート レジストリ アクセスが禁止に設定されているかを確認します。 rc スクリプト ファイルが正しく設定されているかを確認します。 ディスクの空き容量が十分かを確認します。 ユーザー スタートアップ ファイルが正しく設定されているかを確認します。(パーミッション、PATH、 UMASK(しきい値以上)など) ホームディレクトリ配下のファイル、ディレク ユーザー ホームディレクトリ下のファイル/ディレクトリが正しく設定されているかを確認します。(所有者、 トリ パーミッション、不審なファイルの存在など) Windows UNIX Webアプリケーション診断内容 サーバ設定 認証 セッション管理 暗号化 パラメーター改竄 その他 脆弱性分類 製品の設定ミス 製品の既知の脆弱性 認証方式 パスワード強度 権限昇格 セッション管理方式 セッションID強度 セッションのライフサイクル 通信の暗号化 証明書 クロスサイトスクリプティング コマンドインジェクション SQLインジェクション パラメーター改竄 バッファオーバーフロー 強制ブラウジング ディレクトリトラバーサル Hiddenフィールドの改竄 エラー処理 診断内容 不要なメソッドの存在や、不適切な設定の存在を確認します。 使用しているミドルウェア製品の既知の脆弱性の存在を確認します。 脆弱な認証方式を採用していないかを確認します。 認証で使用しているパスワードルールが適切であるかを確認します。 ユーザーの権限の昇格ができないかを確認します。 脆弱なセッション管理方式を使用していないかを確認します。 セッションIDの強度を確認します。 セッションIDの再利用ができないことを確認します。 重要な情報が暗号化して送信されていることを確認します。 サーバ証明書の内容が適切であるかを確認します。 重要な情報が暗号化して送信されていることを確認します。 OSコマンドを実行できないかを確認します。 SQLコマンドを実行できないかを確認します。 パラメーター値を不正に改竄した値が受け付けられないかを確認します。 パラメーター値を不正に改竄した値が受け付けられないかを確認します。 公開されていない重要データに直接アクセスできないことを確認します。 相対パスを使用してディレクトリ移動できないことを確認します。 Hiddenフィールドの受け渡しに起因する問題がないかを確認します。 エラー処理が適切に行われ、過剰な情報をエラーメッセージに含めてい ないかを確認します。 クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリが実行できないかを確認します。 クライアントのセキュリティ クライアントのセキュリティを考慮しているかを確認します。 ソース中のコメント HTMLソースファイル内に過剰な情報が含まれていないかを確認します サービスをご提供するための素材例 ネットワーク診断 ホスト診断 Webアプリケーション診断 Retina、Nessus Assuria Auditor(旧System Scanner)(Assuria Limited.)、 セキュドック(東芝ITサービス株式会社) AppScan(IBM Corporation.) VEX(株式会社ユービーセキュア)