アルファネットのセキュリティ診断が
選ばれる3つの理由
このような目的で利用されています!
WEBサイトをビジネスに活用し続けるため
インターネット上のWebサイトの86%が、XSS(クロスサイトスクリプティング)やSQLインジェクション等の攻撃対象となる脆弱性を抱えているといわれています。
普及率の高い「WordPress」で構築されたWEBサイトや、個人情報を多く取得するECサイトなど狙われやすいサイトの脆弱性を診断し、万が一の事態に陥らないよう対策を行うための第一歩として多く利用されています。
情報漏洩を防ぐため
サービスを提供しているWEBサイトや、社内のネットワーク構成などに脆弱性があると、インターネットなどの外部からの侵入の危険性があります。侵入されると、情報の漏洩だけでなく業務の停止など、大きな被害を受ける可能性が高まります。
そのようなことの無いように、WEBサイトをはじめとして、ネットワーク上のファイアウォール・サーバやネットワーク機器などのセキュリティ脆弱性を専門家が問題点を診断し、万が一の事態に陥らないよう対策を行うための第一歩として多く利用されています。
セキュリティ対策方法の把握・対策コスト低減のため
セキュリティを考えないといけないのはわかっているけど、何から行えばいいのかわからない。。という方が多くいらっしゃいます。
そのような方が、やみくもにセキュリティサービスを導入して対策を行っても不効率なものになってしまうだけ。効果的な対策を行うには、現状のセキュリティ・脆弱性の状況を把握する必要があり、そのような目的で多くの方がセキュリティ診断を行っています。その結果、効果的な対策が行えることから、セキュリティ対策コストを抑える事にもつながります。
顧客に安心して使ってもらいブランド価値を向上させるため
WEBサイト・アプリケーションなどのサービスを安心して利用者の方々に受けていただくため、しっかりと裏付けのあるセキュリティ品質を確保し、それを利用者に伝えることも大切です。
安心、安全なサイトであることを確認するためにも、セキュリティ診断は欠かせません。
- セキュリティ診断サービスとは
-
お客様のホームページや外部からアクセス可能なサーバ/ネットワーク機器に対し、アルファネットセキュリティ監査センターよりインターネット越しに擬似サイバー攻撃を行うサービスです。
実際にサイバー攻撃で使われる既知のあらゆる手法を使い攻撃を行います。アルファネットのセキュリティ診断サービスは、複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、診断ツールでは実現出来ない圧倒的検出力で、ホームページやサーバ/ネットワーク機器に潜む脆弱性を徹底的に洗い出します。
アルファネットのセキュリティ診断サービスは、お客様のITシステムに潜むセキュリティ脆弱性の有無を調査し、報告書に纏めご提供します。報告書は脆弱性が見つかった場所や危険内容、危険度合い、有効な対策等を詳しく記載し、お客様にすぐに対策に取り掛かって頂くことが出来る内容としています。
サイバー攻撃の手法と対策は、イタチごっこのようなものです。一度診断を受け、発見された脆弱性の対策を行えば万全というわけにはいかないのが実情です。私共では出来れば1年に1度程度、定期的に診断をお受けになることをお薦めしております。
- セキュリティ診断サービス内容
-
~Webアプリケーションとインフラからの双方向アプローチによる、あらゆる角度からのサイト診断~
Webアプリケーション診断サービス
Webサービスの動的ページに対し、外部から擬似攻撃!!
Webサーバ上で稼動するアプリケーションの動的ページ※に対し、当社のセキュリティスペシャリストがSQLインジェクションやクロスサイトスクリプティングを始めとする既知の攻撃手法を実際に用いてセキュリティ脆弱性診断を行います。これにより、対象となるWebサイトの機密(重要)情報漏洩、なりすまし、ネットショップサイトの価格改ざん、フィッシング等々の被害の危険性を洗い出すことができます。
※動的ページ
ネットショッピング、資料請求、QAのようなエントリーフォームに代表される.jsp、.aspx、.phpなどで作成されたWebコンテンツの内容をWebアプリケーションで生成するページ。Webアプリケーション診断項目
【スタンダード】
SQLインジェクションやクロスサイトスクリプティングなど特に代表的な攻撃手法を用いた診断サービスです。 既知の大半の攻撃事例を網羅します。【アドバンスド】
スタンダードでご提供するサービスに加え、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供いたします。サイバー攻撃のビジネスインパクトが特に大きいお客様にお薦めしています。診断項目 診断概要 スタンダード アドバンスド SQLインジェクションの脆弱性 Webアプリケーションを経由したデータベースの不正操作ができないかを検査 ○ ○ クロスサイトスクリプティングの脆弱性 利用者のブラウザ上で悪意あるスクリプトが実行されないかを検査 ○ ○ クロスサイトリクエストフォージェリの脆弱性 利用者の意図しない情報登録、更新等の操作が実行されないかを検査 ○ ○ OSコマンド・インジェクションの脆弱性 サーバ上で悪意あるOSコマンドの実行ができないかを検査 ○ ○ Webコンテンツのディレクトリ一覧が閲覧可能 ディレクトリ内のファイル一覧表示ができないかを検査 ○ ○ メールヘッダインジェクションの脆弱性 メール送信機能において、件名や差出人の変更等のメールヘッダの操作ができないかを検査 ○ ○ ディレクトリトラバーサルの脆弱性 本来アクセスできないファイルへアクセスできてしまわないかを検査 ○ ○ オープンリダイレクトの脆弱性 利用者が悪意あるURLへリダイレクトされないかを検査 ○ ○ HTTPヘッダインジェクションの脆弱性 悪意あるHTTPレスポンスヘッダの追加ができないかを検査 ○ ○ 不適切な認証制御 認証前に認証後のページにアクセスできないかを検査 ○ ○ セッションIDが推測可能 セッションIDが容易に推測できないかを検査 ○ ○ セッションフィクセーション検査 認証前に固定したセッションIDを利用したセッションハイジャックが行われないかを検査 ○ ○ Cookieのsecure属性における問題 セッションIDにsecure属性が付与されているかを検査 ○ ○ 不適切な認可制御 本来アクセスできない他の利用者のデータにアクセスできないかを検査 ○ ○ 不適切なクエリストリングの利用 クエリストリングにIDやパスワード等の重要な情報が含まれていないかを検査 ○ ○ 不適切なCookieの利用 CookieにIDやパスワード等の重要な情報が含まれていないかを検査 ○ ○ ログアウト機能における問題 ログアウト機能により、適切にセッションが破棄されているかを検査 ○ ○ 不適切なエラーメッセージ エラーメッセージから使用されているIDのような情報が判別可能かを検査 ○ ○ 不適切なパスワード保存 パスワードが平文、または元に戻せる状態で保存されていないかを検査 ○ ○ エラーページによるWebアプリケーション情報の漏えい デバッグ機能、スタックトレース等により攻撃者に有用なメッセージが表示されていないかを検査 ○ ○ 自動返信メールの内容を改ざん可能 自動返信メールを送信する機能において、メール内容を改ざんされないかを検査 ○ ○ HTTPヘッダにおける問題 レスポンスヘッダに、クリックジャッキング対策のようなセキュリティ向上が期待できるヘッダフィールドが含まれているかを検査 ○ ○ SSIインジェクションの脆弱性 悪意あるSSIスクリプトによる不正な操作が行われないかを検査 ○ XMLインジェクションの脆弱性 悪意あるXMLを含むリクエストを送信することで不正な操作が行われないかを検査 ○ XPathインジェクションの脆弱性 悪意あるXPathクエリーを発行することで不正な操作が行われないかを検査 ○ LDAPインジェクションの脆弱性 悪意あるLDAPクエリーを発行することで不正な操作が行われないかを検査 ○ hiddenパラメータ改ざんによる不正な情報の登録が可能 商品価格の改ざんのような不正な情報の入力ができないかを検査 ○ 不適切なhiddenパラメータの利用 hiddenパラメータに機密情報を格納していないかを検査 ○ SSLサーバ証明書に問題 証明書の信頼性を低下させる問題がないかを検査 ○ SSLの利用における問題 適切に通信が暗号化されてるかを検査 ○ クライアントサイドコメントによる情報漏えい コメントに攻撃者にとって有用な情報になりえる不適切な内容が含まれていないかを検査 ○ Webアプリケーションのロジックに問題 上記項目に該当しない、診断対象固有の問題に対する検査 ○ ネットワークセキュリティ診断
ネットワーク機器(サーバやルータなど)に対し、外部から擬似攻撃
商用/フリー診断ツールや独自開発ツールと手動診断を組み合わせサーバやネットワーク機器のセキュリティ脆弱性を診断致します。複数の手法の組み合わせにより誤認識や検出漏れを効果的に防ぎ、500パターン以上のメール不正中継可否検査、不要サービスポートのオープン状況確認、ゾーン情報/バージョン情報読出しチェック、DoS耐性診断等、4000種以上の診断項目で既知の潜在的な脆弱性の把握が可能となります。
ネットワークセキュリティ診断項目
診断項目 診断方法 診断概要 ホスト情報収集 ポートスキャン
[TCP/UDP]開放ポート(稼動サービス)のスキャン ping/traceroute応答 ネットワーク経由によるホストの応答確認 バナー情報の取得 ネットワーク経由によるOSバージョン、プロダクトバージョン等の情報収集 ネットワーク
脆弱性診断スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査 TCP接続 TCPによるセッションの確立、telnet、SSH等の遠隔管理ポートへの接続確認 Webサーバ
脆弱性診断TRACEリクエストの応答 Web検査用機能の確認、及び同機能による情報漏えいの検査 WebDAV接続検査 Webサーバの不必要なファイル共有機能における情報漏えいの検査 サンプルページ、
デフォルトページ検査不必要と判断できるサンプルページ、デフォルトページの公開放置の検査 DNSサーバ
脆弱性診断スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査 DNSサーバからの情報入手 ゾーン情報データベース(ホスト名とIPアドレスの関連付け情報一覧)の入手 Mailサーバ
脆弱性診断スキャンツールによる検査 ソフトウェアのバグや不具合に起因する既知の脆弱性や設定ミス及び脆弱なパスワードの存在等を検査 メール不正中継診断 不正メールの踏み台、なりすましに対する危険性の検査 拡張メールコマンドの実行 不正なメールコマンドによるアカウント情報の入手
- サービスの3つの特長
-
①安心
アルファネットのWebアプリケーション診断サービスの特長の1つである「安心」は、幅広さと深さです。類似サー ビスを提供する他社と比べ、数多くの項目(幅広さ)を細部(深さ)に渡り診断することにより、あらゆるセキュリ ティ脆弱性を洗い出します。アルファネットのサービスをご利用頂く全てのお客様へ安心の品質をご提供致します。
※【ウェブ健康診断】
LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目診断項目 危険度 ウェブ
健康診断※当社の診断 B社 C社 D社 E社 F社 SQLインジェクション検査 高○○○○○○○クロスサイトスクリプティング検査 高○○○○○○○クロスサイト・リクエスト・フォージェリ診断 低~高○○ ○○––○OSコマンド・インジェクション検査 高○○○○○○○Webコンテンツのディレクトリ一覧が閲覧可能 低~高○○○○○○ –メールヘッダインジェクション 中~高○○–––– ○パス名パラメータの未チェック/ディレクトリ・トラバーサル 高○○–○––○オープンリダイレクトの脆弱性 中○○––––○HTTPヘッダインジェクション 中○○––––○不適切な認証(Insufficient Authentication) 低~中○○–○––○セッションの推測(Session Prediction) 低~高○○–○––○セッションフィクセーション診断 中○○○○––○クッキーのセキュリティ属性設定診断 低○○○–– –○不適切な承認(Insufficient Authorization) 高○○–○– –○LDAPインジェクション検査 高–○–○–––SSIインジェクション 高–○–○––○XPathインジェクション 高–○–○––○クッキーの改竄や不正取得 低~高–○––––○エラーメッセージからの情報漏えい 低–○○–––○診断方法 手動 ツール
手動ツール
手動手動 ツール
手動手動 【危険度「高」】 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。攻撃を受けると、大量の報漏洩や改ざんの被害を生じる可能性がある。
【危険度「中」】 攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。若しくは能動的な脆弱性であっても大量の情報漏洩や改ざんにはつながりにくいもの。
【危険度「低」】 攻撃成功の確率が低い若しくは攻撃が成功しても被害が軽微であると考えられる脆弱性。確率は低いものの被害に遭う可能性はある。
②高品質
細部に渡る診断
アルファネットのWebアプリケーション診断サービスは、全ての診断を脆弱性診断ツールに頼ることなく手作業にて行っております。診断対象のWebページに対し、当社のセキュリティスペシャリストが様々な角度から擬似攻撃を仕掛け、脆弱性の有無を検証するサービスとなります。非常に手間のかかる作業ですが、このような診断手法を採用することにより脆弱性診断ツールを利用した診断に比べ遥かに細部に渡る診断を行うことが可能となっております。
精確さ
アルファネットのネットワーク診断サービスは、商用診断ツール、フリー診断ツール、独自開発ツールさらに手動診断といった多数のツール及び手法を組み合わせております。脆弱性診断ツールはOSやハードウェア等の環境差異により得手不得手があり、単一のツールや手法では誤認識や検出漏れが発生する場合があります。そこで、当社では多数のツール及び手法を組み合わせることで誤認識や検出漏れを防止し、さらにツールの検出結果を鵜呑みにせずしっかりと検証した上でお客様へ報告しております。当社の精確な診断サービスは、こういった企業努力により実現しております。
③分り易さ
アルファネットのセキュリティ診断サービスは、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をご提出致します。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分り易く纏めご提出しております。
診断報告書サンプル