Comments
Description
Transcript
Web 脆弱性診断
Web 脆弱性診断 Platform Assessment Service Web サイトに対して、外からの不正アクセスといった観点から侵入手法を考察・試行し、Web ア プリケーションに存在する脆弱性を洗い出し、発見された問題点並びに対策を報告、実施支援し ます。これにより、情報漏洩等の重大な事故を未然に防ぐための手段とすることが出来ます。 Web 脆弱性診断実施の 脆弱性診断実施の必要性 セ キ ュ リ テ ィ 対 策 に 必 要 性 「約6割に個人情報漏えいなどにつながる致命的なWEBアプリ ケーションのセキュリティホールがあった。残る 4 割にもほとんど 何らかの欠陥があり、安全なサイトは 6~7%しかなかった。」 (Web Application Security フォーラム) Web アプリケーションの 脆弱性を 脆弱性を狙った攻撃 った攻撃が 攻撃が急増 「システムの脆弱性の内92%はネットワークではなく、アプ リケーションにある。」 「アタッカーの75%は、何らかのセキュリティホール等の脆 弱性があるWEBアプリケーションを狙う。」(Fortify 社) 「Web を通じた攻撃の 51% は、一般のサイトを改ざん することで発生」(Websense, Research Highlights:Q3-Q4 2007”) 54% 多種多様化のネットワーク脅威 最新の 最新の攻撃手法に 攻撃手法に対応する 対応する検査 する検査エンジン 検査エンジン 攻撃が多数確認されている中国で最も評価されている、情報セキュリティ専門会社「NSFOCUS」が独自に開発し た Web アプリケーション安全性評価ツールを駆使し、高精度な脆弱性検査を行えます。 充実したアフターフォロー 充実したアフターフォロー体制 したアフターフォロー体制 日々変化する脆弱性に対応するため、定期的に脆弱性検査、Web アプリケーションファイアウォール(WAF)の導 入など、お客様の要望に応じて最適な対策・ソリューションを提供します。 費用対効果の 費用対効果の良いサービス 静的/動的のページ数を分けて課金するモデルを採用、安価での診断を実現。ページ数の多いサイトをお持ちの お客さまも安心です。 主な診断項目及報告書サンプル • • • • • 他人になりすまして不正にシステムにログインすることが可能か? 個人情報など重要なデータ(機密情報)を取得可能か? 管理者権限を取得することが可能か? データベースに不正にアクセスすることが可能か? アクセス制御されているリソースに不正にアクセスすることが可能か? Web 脆弱性診断サービス提供イメージ及びフロー 診断サマリーレポート • 4段階の総合評価 • 検出された脆弱性、サーバ 情報、URLのリスト • 高リスクの脆弱性TOP10 製品、サービスに関するお問い合せは下記へ NSFOCUS 日本総代理店 株式会社 インテカー [TEL] 03 5207 6016 [ FAX ] 03 5207 6026 [URL] www.nsfocus.jp [Email] [email protected] 〒101-0048 東京都千代田区神田多町 2-3-2 不動ビル 8 階 ※ 会社名及び商品名は、それぞれ会社の商標あるいは登録商標です。 このカタログの記載内容は 2009 年 7 月現在のものです。製品、サービス仕様は予告無く変更することがあります。 プラットフォーム診断 Platform Assessment Service サーバ OS、アプリケーションなど脆弱性の視点からシステム構成上の問題についての総合的な 診断を行い、ネットワーク環境にて存在するセキュリティポイントを洗い出し、発見された問題点 並びに対策を報告、実施支援します。 定期的にプラットフォーム 定期的にプラットフォーム診断実行 にプラットフォーム診断実行の 診断実行の必要性 ウイルス ウイルス系 ルス系による被害 による 被害から 被害から見 から見ると、 ると 、今やウイルス対策ソフトの導入や気をつけてさえいれば感染しない という時代ではありません。 BOT 1. ウイルスメールの添付ファイルの実行による感染 2. 不正な(ウイルスの埋め込まれた)Web ページの参照による感染 3. スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導 かれて感染 4. コンピュータの 脆弱性を突く、ネットワークを通じた不正アクセスによ る感染 5. 他のウイルスに感染した際に設定される バックドアを通じてネットワ ークから感染 6. ファイル交換(PtoP)ソフトの利用による感染 7. IM(インスタントメッセンジャ)サービスの利用による感染 ボットウイルスは ボットウイルスは、 スは、感染をしていても 感染をしていても 利用者に に気づかれないように密 利用者 づかれないように密かに 活動を 活動を行っています っています。 ます。 Antinny Winny 経由で、感染するウィルス マルウェア 内部犯行のため、サーバやパソコンに悪意をもったソフトウェアを仕掛けた 最新の 最新の攻撃手法に 攻撃手法に対応する 対応する検査 する検査エンジン 検査エンジン 攻撃が多数確認されている中国で最も評価されている、情報セキュリティ専門会社「NSFOCUS」が独自に開発し たプラットフォーム安全性評価ツールを駆使し、高精度な脆弱性検査を行えます。 充実したアフターフォロー 充実したアフターフォロー体制 したアフターフォロー体制 日々変化する脆弱性に対応するため、定期的にプラットフォーム検査、IPS ファイアウォールの導入など、お客様 の要望に応じて最適な対策・ソリューションを提供します。 費用対効果の 費用対効果の良いサービス IP 単位で課金するモデルを採用、安価での診断を実現。プラットフォーム診断の実施により、情報漏洩等の重大な 事故を未然に防ぐための手段とすることが出来ます。 主な診断項目及報告書サンプル NO 診断内容 1 ポートスキャン診断 診断対象機器における Open ポートおよび提供サービスを確認 対象ポート:TCP1~1024、UDP1~1024 2 提供サービスの情報取得および挙動 確認 ポートスキャンによって提供が確認されたサービスの情報取得や挙動確認を 実行 3 独自の脆弱性診断ツールによる診断 NSFOCUS が独自に開発したツールを用いて、Mail サーバおよび Web サーバ に対して、400 項目程度のより詳細な診断を実施します。検出された脆弱性 についてはハンドオペレーションによる精査を行います。 プラットフォーム診断サービス提供イメージ及びフロー 製品、サービスに関するお問い合せは下記へ NSFOCUS 日本総代理店 株式会社 インテカー [TEL] 03 5207 6016 [ FAX ] 03 5207 6026 [ U R L ] www.nsfocus.jp [Email] [email protected] ※ 会社名及び商品名は、それぞれ会社の商標あるいは登録商標です。 このカタログの記載内容は 2009 年 7 月現在のものです。製品、サービス仕様は予告無く変更することがあります。