サービス | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > サービス > セキュリティ診断サービス

セキュリティ診断サービス

 当社のセキュリティ診断サービスは、診断対象に対する全てのテスト工程をリモート(インターネット経由)にて実施致しますので、診断実施まで大変スムーズに開始頂けます。プロジェクト開始時のミーティングを経て、ツールおよびマニュアルによる診断を行い、発見された問題が深刻な場合には速報として即日ご報告致します。診断の結果改修作業等が発生した場合には、初回診断終了後に再診断も承っております。
自動化ツールでの診断と共に、経験豊富なチームが独自に収集した情報とノウハウを踏まえて診断致します。

こんな時にご検討ください

  • Webサーバに顧客情報やクレジットカード情報を保存していて、安全性が気になるとき
  • Webコンテンツの改廃により、初期の頃に比べコンテンツやシステム間の不備が発生しやすい状態のとき
  • Webリニューアル時

その他、Webのセキュリティ診断でご不明点などございましたらご相談ください。

Webアプリケーション脆弱性検査サービス

1. 診断概要

 診断対象となるページに対して、自動化ツールと手動診断の両方を活用してテストを実施致します。
自動化ツールでは機能一覧の作成・マッピング等を行い、既知の脆弱性やエラーを発見致します。自動化により誤検知を取り除くので、必要なデータだけを診断し、早期解決に向かいます。
手動診断では、攻撃者の観点からツールでは確認できないような高度な診断を実施。脆弱性が発見された場合には手動テストによって脆弱性のテスト及び悪用方法を試行し、各脆弱性が及ぼす影響を評価します。

2. 診断の流れ

受付
ヒアリング
テスト実施
報告
再診断
の実施
・プロジェクト概要及び要件、作業内容の確認
・スケジュール及び成果物他の確認
・お見積もりのご提示とご検討
・自動診断ツールでのテスト実施
・専門調査員の手動検査の実施
・深刻な脆弱性が検出された際の即日報告
・テスト結果を精査・分析した報告書の提出
 報告は現場の担当者様向けの詳細と、経営管理者様向けに
 要点を纏めた内容の両方が含まれます。
・初回診断で検出されたリスクレベル(低、中、高)の脆弱性に
 応じて、再診断を実施して改善を確認
・ヒアリングで確認したゴールの達成を目指します

3. 診断項目

データ検証に関するチェック項目(クリックで展開)

  • クロスサイト・スクリプティング(XSS)(Reflected、Stored、DOM ベース)
  • クロスサイト・フラッシング(XSF)
  • SQL インジェクション
  • LDAP インジェクション
  • ORM インジェクション
  • XML インジェクション
  • SSI インジェクション
  • XPath インジェクション
  • IMAP/SMTP インジェクション
  • Code インジェクション
  • OS コマンドインジェクション
  • バッファーオーバーフロー

セッション管理に関するチェック項目

  • セッション管理機構のテスト
  • セッション Cookie の属性チェック
  • セッション固定攻撃に関する問題(Session Fixation)
  • セッション ID の強度チェック
  • クロスサイト・リクエスト・フォージェリ(CSRF)

認証機能に関するチェック項目

  • 認証情報の送受信時におけるテスト
  • ログイン / ログアウト処理のテスト
  • ユーザ情報の列挙(user enumeration)
  • ユーザアカウントの推測
  • 認証スキーマのバイパステスト
  • パスワードリセットおよびパスワードリマインダー機能のテスト
  • キャプチャ(CAPTCHA)認証のテスト
  • 多要素認証に関するテスト
  • 証明書に関するテスト

アクセス制御に関するチェック項目

  • パストラバーサル(ディレクトリトラバーサル)
  • アクセス権限のバイパステスト
  • 権限昇格チェック
  • 強制ブラウズ

情報開示に関するチェック項目

  • Web アプリケーションフィンガープリント
  • GET リクエストによる重要情報の送信
  • キャッシュ制御
  • エラーコード、エラー処理に関するテスト
  • 不要と思われるファイルの残存確認(Old, backup and unreferenced files)

各種設定に関するチェック項目

  • 暗号化通信の有無
  • HTTP メソッドに関するテスト
  • クロスサイト・トレーシング(XST)に関するテスト

アプリケーションロジックに関するチェック項目

  • ファイルアップロード機能のテスト(ファイル拡張子、ファイルサイズ、ファイル形式など)
  • 掲示板やチャット機能に関するテスト
  • 不正送金などのファイナンシャル機能に関するテスト
  • クレジットカード決済機能に関するテスト
  • ショッピングカート機能に対するテスト
  • 管理者機能への不正アクセス

その他、Ajax やWeb サービスに関するチェック項目

  • HTML5 に関するテスト
  • Ajax に関するテスト
  • Flash に関するテスト
  • SOAP / WSDL に関するテスト
  • XML ストラクチャのテスト
  • HTTP GET パラメータ / REST に関するテスト

外部ペネトレーションテストサービス

1. 診断概要

診断対象となるページについて自動化ツール及び手動診断を活用してテストを実施致します。不正アクセスや情報漏えい等の深刻な影響を及ぼす脆弱性を明らかにし、その脆弱性の詳細の報告、改善のご提案までご支援致します。
自動ツールと手動診断の両方を活用して実施致します。テストはファイアウォール、ルータ、その他のネットワークインフラストラクチャデバイス、侵入検出および防御システム、Web サーバ、E メールシステム、仮想プライベートネットワーク(VPN)などが対象です。ご相談の上、疑似侵入行為を行うことも可能です。

2. 診断の流れ

テストステップ1:テスト対象情報の特定および検証

テストステップ2:脆弱性の特定および検証

テストステップ3:疑似侵入(Exploitation)

受付
ヒアリング
テスト実施
報告
再診断
の実施
・プロジェクト概要及び要件、作業内容の確認
・スケジュール及び成果物他の確認
・お見積もりのご提示とご検討
・自動診断ツールでのテスト実施
・専門調査員の手動検査の実施
・深刻な脆弱性が検出された際の即日報告
・テスト結果を精査・分析した報告書の提出
 報告は現場の担当者様向けの詳細と、経営管理者様向けに
 要点を纏めた内容の両方が含まれます。
・初回診断で検出されたリスクレベル(低、中、高)の脆弱性に
 応じて、再診断を実施して改善を確認
・ヒアリングで確認したゴールの達成を目指します

3. 診断項目

各種バナーおよびバージョン情報などのフィンガープリンティング

サーバソフトウェアの各種脆弱性

  • Apache、Tomcat、Struts、Weblogic、Oracle、IIS など、各種ソフトウェアに起因する脆弱性
  • Solaris Telnet に認証なしでログインできる問題などの機能実装不備

推測容易なデフォルトアカウントおよびパスワードによるログインテスト

アクセスコントロール不備によるディレクトリのアクセス

FTP、TFPT、Telnet サービステスト

  • Anonymous ログイン
  • 平文認証の許可、STARTTLS connection (FTP)

SSH サービステスト

メールサービステスト

  • SMTP、POP、IMAP などの固有の問題
  • Mail Relay の許可、各種コマンドの利用可否
  • 平文認証の許可、STARTTLS connection (SMTP)

DNS サービステスト

  • キャッシュポイズニングの脆弱性、再帰的問い合わせの許可
  • ゾーン転送の許可

データベースサービステスト

  • Oracle、MySQL、PostgreSQL、MS SQL へのアクセス
  • 推測容易な認証アカウント

LDAP サービステスト

  • 匿名アクセスの許可、LDAP NULL BASE 検索の可否

HTTP サービステスト

  • HTTP メソッド、WebDav の許可、ディレクトリ⼀覧の許可
  • エラー処理、システム情報などの露呈
  • デバッグ機能の許可
  • ベーシック認証の利⽤
  • テストファイル、初期インストール時のファイル残存確認

NNTP、NTP サービステスト

SSL サービステスト

  • 暗号強度テスト(暗号鍵、SSL バージョンなど)
  • OpenSSL Heartbleed 脆弱性
  • SSL/TLS 再ネゴシエーションの脆弱性
  • TLS CRIME の脆弱性
  • SSL 証明書の有効性

SMB サービステスト

  • SMB Null セッション認証
  • SMB Signing の問題

IKE サービステスト

  • アグレッシブモードの許可

RDP サービステスト

  • リモートコード実⾏の脆弱性
  • Man-in-the-middle 攻撃の脆弱性
  • 暗号強度テスト

■モバイルアプリケーション脆弱性検査サービス

1. 診断概要

診断対象となるページについて自動化ツール及び手動診断を活用してテストを実施致します。診断はモバイルプラットフォームおよびモバイルアプリケーションを対象とし、既知の脆弱性、未知の脅威を評価致します。
アプリケーション設計の観点、およびユーザーインターフェースの観点から、対象モバイルアプリケーションおよびプラットフォームの詳細について診断致します。

2. 診断の流れ

テストステップ1:対象モバイルアプリケーションおよびプラットフォーム情報の確認

テストステップ2 : テクニカルアセスメント

受付
ヒアリング
テスト実施
報告
再診断
の実施
・プロジェクト概要及び要件、作業内容の確認
・スケジュール及び成果物他の確認
・お見積もりのご提示とご検討
・自動診断ツールでのテスト実施
・専門調査員の手動検査の実施
・深刻な脆弱性が検出された際の即日報告
・テスト結果を精査・分析した報告書の提出
 報告は現場の担当者様向けの詳細と、経営管理者様向けに
 要点を纏めた内容の両方が含まれます。
・初回診断で検出されたリスクレベル(低、中、高)の脆弱性に
 応じて、再診断を実施して改善を確認
・ヒアリングで確認したゴールの達成を目指します

3. 診断項目

認証方法

アクセスコントロール

  • 最⼩権限のアクセス制御

セッション管理方法

保存すべきでないデータの確認

  • パスワード
  • パスワードハッシュ
  • 個⼈情報
  • ログ
  • 暗号鍵

重要なデータの格納方法

  • 平⽂(プレーンテキスト) 保存
  • 暗号化保存
  • 暗号の実装⽅法・強度

安全な通信確立方法

  • SSL 通信の強制
  • 不当な証明書の処理
  • SSL 通信の実装⽅法および強度

アプリケーションのバッファーオーバーフローや類似した脆弱性テスト

デバッグ用コードやテストコードの残存

解析防御メカニズムの実装確認

悪意のあるアプリ内広告を防ぐメカニズム

プライバシー、コンプライアンスチェック

データ漏えいおよび開示情報の確認

  • データ保存場所
  • デバイス ID
  • 個人情報
  • IP アドレス
  • ジオロケーション(地理位置情報)

プラットフォームテスト

  • キーストロークキャッシング
  • スクリーンショット
  • キーチェーンおよびパスワードストレージ
  • SQLite データストレージ
  • キャッシュされたファイルとデータ
  • UIPasteBoard
  • バックグラウンドアクション
  • スナップショット
製品及びサービスに関するご質問、お問合せはこちら
関連製品
セキュリティ運用・監視サービス
セキュリティ運用・監視サービスで得られるパラダ ...
詳細
セキュリティポリシー&リスクアセスメント支援
セキュリティポリシー&リスクアセスメント・コン ...
詳細