脆弱性診断サービス



IT普及に伴う情報漏えいの危険性・意識の高まりから情報セキュリティに対するニーズは年々増加しています。
脆弱性診断サービスでは、起こりうる事故を未然に防ぐための監査や改善提案を行います。

脆弱性診断サービスでは大きく「ディフェンスセキュリティ」「脆弱性診断」「ペネトレーションテスト」に分かれます。

  • 「ディフェンスセキュリティ」はセキュリティ事故発生時の処置、原因分析、改善方法策定へのアドバイス等を提供するコンサルティングサービスです。
  • 「脆弱性診断」と「ペネトレーションテスト」はお客様がお使いのインフラの脆弱性の診断を行います。
    この二つのサービスの違いは次の通りです。
診断内容 報告例
脆弱性診断 個別の問題(システムの脆弱性)におけるリスクを分析・評価する 〇〇という脆弱性を見つけました。放置しておくと情報漏えいや不正行為、いやがらせなどが発生する可能性があります。
ペネトレーションテスト 複数の問題(システムの脆弱性や運用)を組み合わせて特定の目的が達せられるかリスクを分析・評価する テストの結果でxxxxxのサーバに侵入することがきました。
手順は〇〇の脆弱性を利用し、リモートからシステムコマンドを実行して~…
脆弱性診断
Webアプリケーション診断

Webアプリケーションに内在するクロスサイトスクリプティングやSQLインジェクション、なりすましなどの脆弱性を攻撃者目線での擬似攻撃を行い検出し、セキュリティリスクの排除を支援します
こんな方におすすめ
  • Webサイトの脆弱性診断を行ったことがない
  • 運営しているWebサイトのセキュリティレベルに不安を感じている
  • ECサイトを運営している
  • 個人情報を取り扱うサイトを運営している
  • オンラインゲームを運営している
  • 決済機能など金銭を取り扱うサイトを開発しているため不正利用がされないかを見てもらいたい
  • サービス拡大に伴い、セキュリティレベルを向上したい
  • Webサイトに新しい機能を追加した
スマホアプリ(iOS・Android)脆弱性診断

iOS/Androidアプリケーションに対して、リバースエンジニアリングやソースコード解析を通じて、セキュリティ上の問題点を評価します。
こんな方におすすめ
  • スマートフォンアプリのリリース前にセキュリティ評価を行いたい
  • クレジットカード情報や銀行口座情報などを扱うためセキュリティを高めたい
  • ユーザの個人情報を取り扱うため、セキュリティを高めたい
プラットフォーム診断(ネットワーク診断)

診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。
攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。

過負荷等で障害発生しないように最大限配慮して診断作業を実施します。

こんな方におすすめ
  • PCI DSSに準拠しているため、定期的なネットワーク診断が必要
  • サービスリリースに伴い、脆弱性診断を実施する必要がある
  • 前回脆弱性診断を受けてから1年以上経過している
クラウド診断

パブリッククラウドの設定不備やクラウド上に構築されたアプリケーションの安全性について、セキュリティエンジニアが攻撃者目線で評価を行う診断サービスです。

AWS /Azure /GCP 3大クラウドおよびSalesforceに対応。

こんな方におすすめ
  • オンプレからクラウドに移行したが、クラウドの設定ミスによるセキュリティの問題がないか確認したい。
  • クラウドサービスの管理者権限が適切に保護され運用されているかを確認したい。
  • 新たにサーバレスアーキテクチャを採用したがセキュリティ的に問題ないか確認したい。
グラスボックス診断(ソースコード解析)

ホワイトボックス診断+動作環境での検証を行います。開発の前工程でも実施することが可能で、セキュリティリスクだけでなく後工程で見つかった場合の手戻りコストの低減に繋がります。
こんな方におすすめ
  • 利用者数の増大により高い水準のセキュリティ対策が必要になった。
  • セキュアなコーディングが出来ているか不安がある。
  • システムの内部構造に脆弱性がないか確認したい。
ゲームチートペネトレーションテスト

有償アイテム購入やガチャ機能などの課金サービスやユーザデータベース更新機能、対人ゲームにおけるアドバンテージ獲得などチート行為が可能となる脆弱性が存在しないかを、ゲームごとの特性に合わせて実施します。
こんな方におすすめ
  • クライアント側でバトルなどの重要な処理を行っている
  • 実装済みのチート対策の耐性を評価したい
  • 他社IPを使用しており、アセットの漏洩が気になる
IoTデバイスペネトレーションテスト

IoTデバイスにセキュリティ上の問題がないか「ソフトウェア解析」や「ハードウェア解析」を通じ、様々な観点から、そのセキュリティを評価します。
こんな方におすすめ
  • リリース前に自社開発製品のセキュリティを確認したい開発者様
  • 運用するIoTシステムにセキュリティの問題がないか確認したい運用者様
  • サプライヤから納品された製品の安全性を確認したいOEM様

ペネトレーションテスト

ペネトレーションテストは特定の目的(侵入や情報窃取など)が達せられるか、システムだけではなく運用上の問題点も含めて調査を行います。

ペネトレーションテスト(侵入テスト)

診断員が攻撃者と同じ視点のシナリオで侵入テストをし、脅威に対しての対策状況を評価します。

こんな方におすすめ
  • CSIRTの対応能力を向上させたい
  • SOCの検知の精度を確認したい
  • パスワード強化など社内のセキュリティ意識の向上を図りたい
標的型メール
攻撃対象である社員のメールアドレスに対して、擬似マルウェアを添付した標的型メールを送信します。

擬似マルウェアを実行いただき、感染端末から内部ネットワークに侵入し、個人情報等の重要な情報の奪取やサービスの停止が可能か調査します。

こんな方におすすめ
  • マルウェア感染するとどこまで侵入されるか確認したい
  • 社員が標的型メールにどの程度感染するかも確認したい
  • より現実に近い形で標的型メール攻撃をテストしたい
Webペネトレーションテスト
WebアプリケーションやWebAPIに存在する脆弱性などを利用し、データベースに格納されている機密情報を窃取できるか、サーバーの権限を不正に取得できるかなどを調査します。
また、調査過程で検出した脆弱性についてもご報告します。
こんな方におすすめ
  • WebアプリケーションやWebAPIを提供する予定だが機密情報の漏洩か心配だ
OSINT

ネットに公開されたお客様の情報を元にしてシステムへの侵入が可能かを検証します。

こんな方におすすめ
  • ネットへの公開情報を利用して、企業内ネットへの侵入や情報漏洩になる行為が行われないかテストしたい。
  • SNSやGitHubなどに意図せず公開されている情報を元にネットへの侵入が行われないか知りたい。
物理環境

企業内の共用スペースにあるLANポートやゲスト向けWi-Fiなどから社員が使用しているネットワークへ侵入し、重要な情報(個人情報のデータベースなど)を取得できないか調査します。
※ 診断員がオンサイトにて作業を実施します。

こんな方におすすめ
  • オフィスには不特定多数の出入りがあるが、情報漏洩の可能性が心配
  • アクセス制御の仕組みをネットワークに設定しているが、Wi-Fiなどで侵入される可能性がないか知りたい
  • 入退室管理システムや監視カメラを導入しているが、それが正しく機能しているか知りたい
調査特化型

運用中/運用予定のシステムや製品の設定不備をペネトレーションテスト形式でご要望に合わせた調査を実施します。
対策導入済みのセキュリティ製品の動作検証としても利用可能です。

ディフェンスセキュリティ
デジタルフォレンジック

セキュリティ事故の原因を特定するインシデント事後調査サービスです。

情報漏洩のフォレンジック調査では、Windowsパソコン、Mac、スマートフォン、USB機器、サーバ、クラウドなどを対象にした調査が可能となっています。調査対象端末が特定できていない場合からのご相談にも対応します。

インシデントレスポンス

現在進行中のインシデントの被害を早急に止めるためのサービスです。
CSIRT支援

セキュリティ担当者として、何からはじめればよいのかわからない、そんなお悩みを解消するサービスです。

またインシデント被害を教訓に原因と今後の対策の設計もこのサービスで提供いたします。

こんな方におすすめ

  • はじめてセキュリティ対策する企業
  • 情報流出している可能性を感じている企業
  • 事故が起こった企業や事故が起こった後の、今後の対応を考えている企業
ディフェンスセキュリティ

発生したインシデントやセキュリティ診断の結果への対策を提案します。

こんな方におすすめ

  • はじめてセキュリティ対策する企業
  • 情報流出している可能性を感じている企業
  • 事故が起こった企業や事故が起こった後の、今後の対応を考えている企業

その他、セキュリティアドバイザリー/コンサルティング/セキュア開発プロセスの支援もご用意しております。

セキュリティアドバイザリー/コンサルティング
セキュリティコンサルティング

高度化するサイバーセキュリティの脅威に対応するセキュリティ対策の具体化や技術支援をします。

こんな方におすすめ
  • 社内にセキュリティに精通した人材が不足している
  • セキュリティ対策を何からはじめてよいかわからない
  • 社員のセキュリティ技術の向上を図りたい
セキュア開発プロセス支援

設計開発前の脅威モデリングによる想定脅威および対策の洗い出しや、設計開発後のペネトレーションテストによる脆弱性の評価を通じ、製品の開発プロセスのセキュリティ向上を支援します。

こんな方におすすめ
  • テスト工程での手戻りを防止したい
  • テスト工程でのセキュリティ対策費用コスト負担を軽減したい
  • セキュリティの考慮漏れを防ぎたい
WaaS

ホワイトハッカーが直接、開発チーム(Dev)や運用チーム(Ops)にアドバイスをさせていただくサービスを提供することで、セキュリティのお悩みを減らすためのご相談に応じています。

こんな方におすすめ
  • はじめてセキュリティ対策を検討している
  • 同業他社がサイバーセキュリティの被害にあっていて、自社も狙われる可能性があるか心配している
  • セキュリティ対策の見直しを何からはじめたらよいのかわからない


ページ上部へ戻る