セキュリティ診断(脆弱性診断・ペネトレーションテスト)

セキュリティ診断(脆弱性診断)とは

セキュリティ診断(脆弱性診断)とは、ネットワーク、ソフトウェア、Webアプリケーション、IoTデバイスなどを対象に詳細な分析・評価を行うことで、潜在しているセキュリティ上の弱点や脅威を特定するセキュリティ対策の手法です。

脆弱性を洗い出し、事前に対策を講じることで不正アクセスや情報資産の流出などのセキュリティリスクを最小限に抑えることができます。

ペネトレーションテストとの違い

ペネトレーションテストは、対象となるシステムに対して実際の攻撃シナリオに基づいた擬似攻撃を行うことで本物のサイバー攻撃に対する防御能力を評価する手法です。

セキュリティ診断(脆弱性診断)がシステムに潜在している脆弱性を網羅的に検出するのに対し、ペネトレーションテストは実際に攻撃者の視点からあらゆる手段を用いて実際に攻撃が成功しうるかを検証します。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com

目的

セキュリティ診断(脆弱性診断)

システム内に潜む脆弱性を特定し、適切な対策を行うことでシステムのセキュリティを向上させ攻撃者からの侵入を未然に防ぐことができます。

また、顧客やサービスの利用者に対しても安全で信頼性の高いサービスの提供を実現できます。

ペネトレーションテスト

攻撃者と同じ視点でシステムへの侵入、情報資産の奪取を試みるため、組織が導入しているセキュリティソリューションの有効性や組織全体におけるサイバー攻撃への対応能力などを評価できます。

ペネトレーションテストの結果からリスクを適切に評価し、組織が優先すべき対策を明らかにします。

必要性

セキュリティ診断(脆弱性診断)

システムやアプリケーション内に脆弱性を放置しておくことで、攻撃者にそれらを悪用され、Webサイトの改ざん、個人情報および機密情報の漏洩、システム障害といった被害を引き起こす可能性があります。

これらのセキュリティリスクを最小限に抑えるため、セキュリティ診断を定期的に行い、脆弱性の早期発見と修正を行うことが強く推奨されています。

ペネトレーションテスト

現在多くの業界においてPCI DSSやGDPRといったセキュリティ基準に準拠したペネトレーションテストの実施が要求されています。

サイバーセキュリティの環境は常に変化しており、攻撃者は日々新たな脆弱性と攻撃手法を用いて侵入を試みています。実際の攻撃を想定したペネトレーションテストを実施し、脅威に対する防御能力の有効性を確認することでこれらのコンプライアンス要件を遵守することができます。

サイバーディフェンスの診断サービスの特徴

セキュリティ診断(脆弱性診断)

最新の技術に精通した一流のセキュリティエンジニアが、ツール診断では検出できない項目まで手作業で実施し、検出した脆弱性を単体で評価せずにそれらを組み合わせることで顕在する脅威までを深く分析します。そのためお客様のビジネスにおいて優先して対処すべき課題を明確化し、適切な推奨対策を提示することが可能です。

また一件の診断あたり必ず複数人のチームで取り組むため、丁寧かつ網羅性の高い診断結果をお約束します。

ペネトレーションテスト

ネットワーク全体を侵入対象とし、認証試行(簡易なパスワード、総当り、辞書攻撃等)、機微な情報や設定ファイルの窃取、一般的なサービスやコマンドを使用した攻撃、非暗号化通信の窃取を目的とした中間者攻撃、セキュリティ対策の迂回(アンチウイルス、UAC、FWなど)なども行う実践的なペネトレーションテストの実施が可能です。

APT攻撃など昨今のサイバー攻撃を想定したシナリオのほか、IP電話、監視カメラ、TV会議システムのセグメントといった特殊経路からの検証も可能です。

サービスメニュー

Webアプリケーション脆弱性診断

診断対象アプリケーションの仕様を考慮し、攻撃文字列に対する応答を確認しながら攻撃方法を思考する完全手作業の診断を実施します。SQLインジェクションやクロスサイトスクリプティングなどによる脅威の有無、ユーザの権限を超えた操作の可否などを検証します。

【診断項目】

認証セッション管理 / 認証Cookie / 入出力値検証 / リクエストの正当性 / ロジック / アクセス制御 / 重要な情報の管理 / メール送信機能 / プラットフォームの設定

スマートフォンアプリ脆弱性診断

攻撃者の視点でアプリケーションの解析およびサーバ側のスクリプト / API通信上の脆弱性など、アプリケーションの安全性をあらゆる角度から検証します。一般的な脆弱性診断サービスや脆弱性スキャナでは発見出来ない脆弱性までも徹底的に洗い出し、アプリの信頼性向上に貢献します。

【診断項目】

認証セッション管理 / 認証Cookie / 入出力値検証 / リクエストの正当性 / ロジック / アクセス制御 / 重要な情報の管理 / メール送信機能 / プラットフォームセキュリティ

ネットワークペネトレーションテスト(ネットワーク診断)

ネットワーク全体を対象に本物の攻撃に限りなく近い擬似攻撃を実施することで、外部から侵入されるリスクおよび内部不正や標的型攻撃など組織内部が攻撃起点となった場合の脅威を顕在化させます。

【診断項目】

ホスト検出 / TCPスキャン / UDPスキャン / 認証試行 / アクセス権限の取得 / 既知脆弱性に対する攻撃 / 未知脆弱性の検出 / 中間者攻撃 / ドミノエフェクト

組み込み機器・IoTセキュリティ診断

機器の分解を伴う基板上攻撃やファームウェアの解析、機器の有する通信インタフェースやWebUIへの攻撃、あるいは機器と連携するシステム・アプリケーションを介する攻撃などを対象に攻撃者の視点で疑似攻撃を実施し、潜在する脅威を顕在化します。

【診断項目】

バスの盗聴 / デバッグ用インターフェースの調査 / 動作モードの変更 / 記憶媒体の調査 / ファームウェアの解析 / ファームウェアの改ざん / 通信の盗聴と解析

制御システムペネトレーションテスト

社会インフラ及びそれを支える監視制御システムに対するセキュリティ試験を行います。 対象制御システムにおいて想定される脅威や、各種規格・ガイドライン等の調査を行い、システムを十分に把握した上で導入可能かつ運用を阻害しないような対策技術の検討を行います。

【診断項目】

ホスト検出 / サービススキャン / 認証試行 / 既知脆弱性の確認 / 未知脆弱性の検出 / ドミノ効果の確認 / 通信データの収集 / 中間者攻撃 / 通信解析 / プログラム解析 / 取得データの分析

FW診断(ファイアウォール診断)

診断対象となるネットワーク機器に設定されているアクセスコントロールリスト(ACL)とセキュリティポリシーに定義されているルールの妥当性およびポリシーに違反を検証します。 攻撃者の侵入に直結する問題や、侵入時の被害拡大につながる問題の発見に主眼をおき、インシデントの防止と被害の緩和に有効な対策をご提案します。

【診断項目】

セキュリティポリシーとConfigの整合性、妥当性 / ドキュメントチェック / ポリシーチェック

ゲーム診断

ソーシャルゲームやブラウザゲームを対象に、セキュリティ上の脆弱性の発見に加え、様々なチート行為の実施可否の検証を行ないます。ゲームのロジックと実装に関する深い理解にもとづき様々な攻撃を試行することで、一般的なデバックでは発見の難しい問題も明らかにします。

【診断項目】

ゲームロジック / 認証セッション管理 / 入出力値検出 / リクエストの正当性 / アクセス制御 / 重要な情報の管理 / プラットフォームの設定

擬似サイバー攻撃(レッドチーム演習)

事前に定めたルールの範囲であらゆる手段を用いて、特定の秘密情報の窃取など、攻撃目的の達成を試みます。組織そのものを攻撃対象と見なし、組織の抱えるセキュリティリスクを多方面から検証します。

【シナリオ例】

内部犯による情報窃取 / 標的型攻撃による情報窃取 / ネットワークへの侵入と権限奪取 / 重要な情報資産への不正アクセス / Webサービスへの攻撃 / 無線AP利用者に対する攻撃 / 無線AP経由での侵入 / 各種制御システムへの侵入

料金

診断対象の構成、規模などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com