Comments
Description
Transcript
セキュリティ診断サービス
製品カタログ セキュリティ診断サービス セキュリティ診断サービス(ペネトレーションテスト) 情報システムを取り巻く脅威は、日々変化しています。複雑・多様化する様々な脅威からシステムを守るためには、 システムに潜在するぜい弱性を把握することから始まります。 富士通SSLのセキュリティ診断サービスは、お客様のシステム(OS、ミドルウェア、Webアプリケーション、データベース 等)に存在するぜい弱性を、経験豊富な専門家が最新の手法で調べあげ、問題点と解決策をご提示します。 お困りではありませんか? システムのセキュリティ対策が万全かどうか知りたい 必要性は感じているが、何から手をつけてよいか分からない 公開システムや社内システム等、複数の観点で総合的に診断し てほしい 富士通SSLが解決します! システムのセキュリティレベルを正確に把握することができます 優先度を付けて、計画的に対策していただくことができます 複数の診断手法を組み合わせることで、多層的にシステムを診断す ることが可能です 診断イメージ 外部公開環境(DMZ) Internet 診断技術者 富士通SSL内 診断環境 Web、メール、DNS等 内部ネットワーク環境 お客様環境 インターネット経由診断 オンサイト診断 お客様のご要望に応じて、インターネット経由または お客様環境内で診断を実施いたします。 富士通SSL 診断技術者 AP、DB等 サービスご提供の流れ ヒアリング お客様のご要望、システム概 要等をお聞きした上で、お客 様に適した診断計画を立案い たします。 診断実施 診断ツールと専門家による手 動診断を併用し、ぜい弱性を 検出します。 結果報告 結果を解析し、診断結果報 告書を作成してご提示します。 重大なぜい弱性については、 速報にてご提示します。 アフターサポート 診断結果に対するご質問に回 答します。 また、ご要望に応じて、 検出されたぜい弱性に対する再 診断を実施させていただきます。 www.fujitsu.com/jp/group/ssl/services/infrastructure/network/professional/securitycheck/ 製品カタログ セキュリティ診断サービス サービスタイプ プラットフォーム診断 Webアプリケーション診断 診断対象のIPアドレスに対してネットワーク経由で検査パケットを 送信し、攻撃者の観点でOSのぜい弱性やアプリケーションの設定、 パッチの適用状況等を分析します。 診断対象のWebアプリケーションに対して、攻撃者の観点で 様々な操作を行い、ぜい弱な実装がされていないかを分析しま す。 主な診断項目 主な診断項目 • • • • • ポートスキャン:ポートの開閉状況を診断します。 バナーのチェック:攻撃者にとって有益な情報となるOSやアプリケー ションの製品名・バージョン情報が取得できないかを確認します。 パッチ適用状況のチェック:最新のセキュリティパッチが適用されてい るかを確認します。 ぜい弱な設定のチェック:OSやアプリケーションに脆弱な設定がない かを確認します。 • • 入力値処理方式のチェック:SQLインジェクション、クロスサイト・スク リプティング等の攻撃につながる、不適切な入力値処理がないかを 確認します。 認証方式のチェック:ぜい弱な認証方式が採用されていないか、ブ ルートフォース攻撃への対策が行われているかを確認します。 セッション管理方法のチェック:ぜい弱なセッション管理方式が採用さ れていないかを確認します。 サーバ診断 データベース診断 診断対象マシン上で診断ツールを実行しマシン内部の設定を調 査することで、管理者の観点でぜい弱性を分析します。 データベースに対し、ネットワーク経由の「侵入検査」と、データ ベースの管理者権限を使用した「監査」の2種類の方法で、ぜい 弱性を総合的に分析します。 主な診断項目 主な診断項目 • • • • • 稼働サービスのチェック:サーバで稼働しているサービスを確認します。 セキュリティポリシーのチェック:ぜい弱なセキュリティポリシーが設定さ れていないかを確認します。 監査ログのチェック:監査ログを適切に取得しているかを確認します。 アカウント設定のチェック:アカウントやパスワードの設定が適切かを 確認します。 • • • アカウント設定のチェック:アカウントやパスワードの設定が適切かを 確認します。 アクセス権限の設定:アクセス権限が適切に設定されているかを確 認します。 監査ログのチェック:監査ログを適切に取得しているかを確認します。 パッチ適用状況のチェック:最新のセキュリティパッチが適用されてい るかを確認します。 特長 ◆経験豊富な専門家が診断を実施 各種セキュリティ関連資格を有する経験豊富な専門家が診断作業を実施します。富士通SSLのセキュリティ診断サービスは1998年よりご提供しており、官公庁、金融 機関を始めとする多数の実績がございます。 ◆複数の診断手法を用い、高精度の診断を実施 業界で評価の高い商用ツールに加えて、独自開発ツール、専門家による手動診断等、さまざまな手法を組み合わせて、総合的に診断します。ツールでは診断できない 複雑な機能やぜい弱性は、手動でひとつひとつ確認します。また、的確な診断結果をご提示できるよう、常に最新の脆弱性情報を収集し、診断手法に反映することによ り、診断の精度を高めております。 ◆お客様に合わせたきめ細やかなサービスの提供 診断計画の策定から実施、報告まで、お客様のご要望をお聞きし、最適な実施方法をご提示いたします。重大なぜい弱性をすぐに把握できる速報のご提示、報告を行 うご担当者の役割にあわせた報告書の作成、システム環境を考慮した対処方法の提案など、お客様のニーズに合わせたきめ細やかなサービスを提供いたします。 ◆サービス提供後もお客様を強力にサポート セキュリティ対策は、継続的に実施していく必要があります。弊社では、診断後の対処が適切に実施されたかを確認するための再診断の他、定期診断、その他セキュリ ティソリューションのご提案など、サービス提供後もよりセキュアなシステム構築と運用をご支援いたします。 ※記載の会社名、商品名は、各社の商標または登録商標です。 ※記載された情報は、予告なく変更することがあります。 ※記載の内容は、2016年8月現在のものです。 お問い合わせ先 (富士通SSL) お問い合わせ総合窓口 〒211-0063 川崎市中原区小杉町1-403武蔵小杉タワープレイス E-mail : [email protected] 当社ホームページ http://www.fujitsu.com/jp/group/ssl/ Copyright 2016 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED www.fujitsu.com/jp/group/ssl/services/infrastructure/network/professional/securitycheck/