脆弱性診断サービス「Site-Audit」(サイトオーディット)は、
「スピーディ」かつ「低コスト」で、サーバやアプリケーションの脆弱性を
洗い出す事を目的とした脆弱性診断サービスです。
最初からセキュリティに
費用をかけすぎてはいませんか?
はっきり申し上げて、
セキュリティ対策には際限がありません。
対策を求める側としては、100%を求めますが
どんなに費用をかけて対策しても、
はっきり言って無理です!!(笑)
費用と対策のレベルは概ね比例しますが、
売上を生まないセキュリティ対策に
かけられる費用にはどうしても限界があります。
基本誰しも余計なコストはかけたくないものです。
何も症状が無いのに
大学病院で検査入院するでしょうか?
まずは必要最低限の現状把握を
継続的に行うことが
費用的にも対策的にも
セキュリティ対策の正解と言えます。
プラットフォーム診断
使用しているサーバ、OSなどのプラットフォームの脆弱性を診断します。
また、セキュリティ標準評価基準であるCVSS/CVEに準拠しています。
診断項目
古いバージョンの脆弱性や誤った設定を悪用し、攻撃者に悪用される恐れがあります。
無効な証明書を使用しているとフィッシングサイトに利用される恐れがあります。
容易に推測される単語を使ったパスワードは、攻撃者の侵入のきっかけとなります。
バージョンや設定から、攻撃者の侵入の足かけとして利用される恐れがあります。
デフォルトで用意されているサンプルスクリプトが公開されている場合、悪用される恐れがあります。
弱い暗号スイートが使われている場合、悪意のあるユーザに解読され通信が悪用される恐れがあります。
データベース管理ツールが不用意に公開されている場合、攻撃者の侵入の足かけとして利用される恐れがあります。
中継に制限をかけていない場合、悪意あるユーザーからのメールを中継してしまい、攻撃の踏み台として利用される恐れがあります。
上記以外にも、14万を超えるパターンの脆弱性診断を行っています。
アプリケーション診断
Webサイトで使用しているアプリケーションに対して、実際に疑似攻撃を行い、アプリケーションに脆弱性が存在しないか診断します。オープンWebアプリケーションセキュリティプロジェクト(OWASP)が提供しているセキュリティに影響を与える一般的なソフトウェアおよびハードウェアの弱点タイプのリスト(CWE)を元に「WEBアプリケーション」に特化したセキュリティ上のリスクを洗い出す脆弱性診断サービスです。サイト内のすべてのページに対して、疑似攻撃を行い、以下の脆弱性を検出します。
診断項目
データベースに不正なSQLコマンドを挿入され、データの改ざんや漏洩が発生する恐れがあります。
悪意のあるスクリプトが埋め込まれ、ユーザーの情報が盗まれたり、偽の情報が表示される恐れがあります。
ユーザーの意図しない操作が強制的に実行され、情報の改ざんや削除が行われる恐れがあります。
サーバー上の意図しないファイルにアクセスされ、重要な情報が漏洩する恐れがあります。
不正なプログラムコードが実行され、サーバーが乗っ取られたり、情報が漏洩する恐れがあります。
XSLTの処理に不正なコードが挿入され、サーバー上の情報が漏洩したり改ざんされる恐れがあります。
外部の悪意のあるファイルが読み込まれ、サーバーが不正に操作される恐れがあります。
プログラムのメモリ領域を超えるデータが入力され、システムが不正に操作される恐れがあります。
意図しないディレクトリへのアクセスを許可してしまい、重要なファイルが漏洩する恐れがあります。
上記以外にも、60を超えるパターンの脆弱性診断を行っています。
レポート提出
脆弱性診断の結果をご報告
脆弱性の有無や問題点などのレポートを作成します。当レポートは、脆弱性診断の結果をお知らせするものです。説明などが必要な場合は、オプションの「報告会」が必要になりますのでご了承ください。
サービス提供フロー
( お客様実施 )
申込書を送付
診断対象サイトの決定
希望診断日時の決定
( 弊社実施 )
三ヶ月間契約回数内で可能
診断実施
診断結果の解析
レポートの提出
( 弊社実施 )
オプション
脆弱性対応サポート
報告会
サービス費用
Site-Audit(サイトオーディット)
スタンダード
必要最小限のセキュリティ対策。
プラットフォーム診断とアプリケーション診断を実施し、基本的なセキュリティリスクを洗い出します。初回診断と再診断の2回セットで、効果的なセキュリティ対策の方向性を把握できます。
ユーザー画面や管理画面があるサイトの場合、1サイトではなく2サイトの扱いとなります。また、原則、共有サーバへの診断はできませんので、ご了承下さい。
関連記事
「Site-Audit」に関連する記事はありません。