事業案内

セキュリティー診断サービス

Webサイトセキュリティー実態

セキュリティ診断結果の統計情報より35%のWebサイトに重要情報が不正に取得できる致命的な欠陥が存在
  • ・35%のWebサイトで、実際に重要情報を不正に取得できた
  • ・発生頻度が高く、危険性の高い3大脆弱性が存在
    •  関連チェック不足による なりますし
    •  権限昇格による管理者機能へのアクセス
    •  SQLインジェクションによるデータベースへの不正操作
Webアプリケーションの脆弱性を狙われ、改竄、情報漏洩に繋がった事件が多発
  • ・金銭利益目的:Webサーバから詐取した個人情報などの売却を目的とした不正アクセスの増加
  • ・攻撃準備目的:WebサーバにアクセスしたユーザのPCを不正操作することを目的としたサイトの改竄
近年、多発しているWebサイトへの攻撃概要
  • ・特定のWebサイトから重要情報を窃取する
  • ・広範囲のWebサイトを改竄し、Webサイトを訪れたユーザのPCにウイルスを仕掛ける
  • ・サーバの設定ミスによる情報流出

サービス提供が必要となるポイント

お客様現状纏め:

1.対外サービス提供サイト持ち:
  • ⇨ アウトソーシングする場合が多く、サービス提供物理環境分析が不可能;
  • ⇨ 会員情報をデータベース利用で管理するが、データベースに対する制御が不可能;
  • ⇨ サーバ&データベースバージョン更新が必要になるかどうかが判断できない;
  • ⇨ ハッカーに攻撃されたが、どんな原因で侵入されたかが判断できない;
  • ⇨ 攻撃はされていると疑われるが、状況が分からない;
2.社内システム利用:
  • ⇨ 業務プロセス管理システムを利用しているが、環境に対するセキュリティ分析が不可能;
  • ⇨ サーバ&データベースのセキュリティホール分析が不可能;
  • ⇨ 専用設備(サーバ、ワークステーション等)が古く(購入から3年以上経過)、切替が必要かどうか分からない;
3.業務プロセス調整:
  • ⇨ セキュリティ対策が実行されていなく、情報漏洩が発生する可能性がある;
  • ⇨ 社員に対する基本的なセキュリティ教育が必要となる;
  • ⇨ 専用コンサルティング・サービス提供が必要となる;

対外サービス、社内システム、業務プロセス等に対する第三者からのセキュリティ診断サービスが必要となる

セキュリティ診断の必要性

安全なWebサイトの実現には、専門家によるセキュリティ診断が必要

最新の攻撃への対応
  • ⇨ 攻撃手法(=ハッカー/クラッカーの能力)は常にレベルアップ
  • ⇨ 高度化する攻撃に対抗するため、常に最新の攻撃手法を監視し、その対応策を開発し続けているセキュリティの専門家に任せることが必要
第三者評価を受けるメリット
  • ⇨ 第三者がセキュリティ診断を行うことで、セキュリティ対策状況を公正に判断することが可能
  • ⇨ 他社とのセキュリティレベルを比較することで、高レベルのセキュリティ対策を維持することが可能
ツールでフォローできない脆弱性の存在
  • ⇨ 自動診断ツールによるチェックは、診断範囲が限定され、誤検知の問題が存在するほか、システムに与える重要度や影響度の評価は実施不可能
  • ⇨ 最新のツールを駆使する診断に加え、高度なノウハウを備えた専門家のマニュアル診断が効果的
脆弱性発覚後の対応スピード
  • ⇨ Webサイトに脆弱性が発見された場合、優先度、危険度の高いものから早急に対応することが必要
  • ⇨ そのためには、セキュリティ専門家の情報、知識、経験が重要

SQCからのWeb脆弱性診断

サービス内容:

1.セキュリティ診断実施:
  • ⇨ リモート連携で診断実施
  • ⇨ 専用設備利用で診断実施
  • ⇨ オンサイトインタビュー診断
2.セキュリティ診断報告書:
  • ⇨ 存在するリスク分析
  • ⇨ リスク解決アドバイス
  • ⇨ リスク解決後の再診断
3.定期コンサルティング
  • ⇨ 定期的に診断を実施
  • ⇨ 最新セキュリティ対策ソリューションを提供

診断対象:

1.対象サイト
  • ⇨ 診断が必要なサイトのURLアドレス提供が必要
  • ⇨ 会員情報保護分析には仮ID&PSが必要
2.社内システム
  • ⇨ IDアドレス提供が必要
  • ⇨ マネジメントID&PSが必要
3.業務プロセス
  • ⇨ 指定IT管理者とのインタビューが必要
  • ⇨ 現場調査(撮影が必要)が必要

診断方法(1):リモート連携診断サービス

リモート連携診断サービス:

中国北京、深センのセキュリティ専門会社からお客様の対外サービス提供システムにリモート連携後に、手動で専門診断を実施する。バーチャルアタック、ホール発掘、脆弱性検証、ホームページ改ざん、ID&PSプロトコル検証、アプリケーションテスト、システム検証及び分類されていないセキュリティ項目検証等を含む。

診断方法(2):専用ツール利用

専用ツール利用:

業務システムに対し、ツール利用分析を実施する。Sangfor社専用設備を利用し、脆弱性診断を実施することに伴い、セキュリティ審査&クラウドシステム利用の分析、次世代セキュリティ防犯システム分析等を実施する。対象はWEBアプリケーション、データベース、OS、ネットワーク層のリスク分析等を含む。

レポートサンプル

サマリー報告書:

  • 1.評価標準説明&診断フロー説明
  • 2.診断後の問題点提出&評価結果説明

詳細報告書:

  • 1.診断対象ごとに問題点詳細分析レポートを提出
  • 2.潜在リスクに対する詳細説明を提出
  • 3.問題点再現&アドバイスを提供

弊社セキュリティ診断サービスの特徴

  • ・Sangfor大手セキュリティメーカーからのハイレベルの専門サービス
  • ・模擬環境での実際アタック実施

セキュリティー専門家のと連携

  • ・中国で最大手セキュリティー専門会社と連携してサービス展開
    • ⇨ Sangfor社(www.sangfor.com)とSQC上海、SQC日本で協力関係を締結
    • ⇨ 各種セキュリティ世界的な認定を得ており、グロバールサービス実績が多い信頼性が高い会社
その他にも
  • ・インターネットリモートでの接続で、初期準備時間、コストなどはあまりかからない
  • ・専門ツールと手動アダック専門チームでの専門作業でより効率、効果的な結果が求められる
  • ・国内相当レベル評価基準と同じだが、価格的にメリットが大きい

セキュリティ診断流れ

  • ・重大問題が発見された場合、緊急報告を含め状況に応じて柔軟に対応
  • ・調査結果は、詳細なレポートをもとに報告

ページトップへ