ソリューション・サービス

セキュリティ診断

セキュリティ診断サービス

近年、Webサーバを用いたサービスを筆頭にアプリケーションへの攻撃が巧妙化しています。ネット犯罪の組織化、ハッキング自動化ツールの氾濫と、アプリケーションへの脅威は日々増加しており、企業・組織にとってアプリケーションを通して取り扱われる情報やWebサイトを守ることの重要性が増しているとも言えます。
また、ユーザニーズの多様化により、アプリケーションの複雑化が進んでおり、安全性における品質維持を困難にしています。

高いセキュリティレベルのシステムを構築し、維持するためには、システム更新、新規導入時はもちろんのこと定期的に診断を受けて、システムの状態や脆弱性の有無を確認し、検出された問題点に対し必要な対策をすることは重要です。

システム全体でセキュリティレベルを保つためには、サーバやネットワーク機器毎、アプリケーション、データベースといった個々のセキュリティレベルを維持することが必要です。
三菱総研DCSでは、「ソースコード診断サービス」から、「プラットフォーム診断サービス」、「Webアプリケーション診断サービス」まで網羅的なメニューをご提供します。

三菱総研DCSは、厳しいセキュリティ要求レベルのシステムを構築・維持運用している豊富な経験を持っています。これらの経験に基づいて、専門家がお客様のシステムを診断いたします。

セキュリティ診断サービスメニュー

【ソースコード診断サービス】

ソースコード専用のセキュリティ検査ツールを使用して、ソースコードに潜む脆弱性等を検査し、検出された問題点とその対策(案)についてご報告するサービスです。
定期的な診断のほか、開発段階でソースコード診断サービスをご利用いただくことで、修正期間を含めた開発期間・工数の低減ならびに品質維持が可能になります。

【プラットフォーム診断サービス】

インターネットに接続されているネットワーク機器、サーバ等に対して、インターネット経由で検査、擬似攻撃を行い、個々のネットワーク機器やサーバ等の脆弱性を検査し、検出された問題点とその対策(案)についてご報告するサービスです。
オンサイトによる検査についてもご相談ください。

【Webアプリケーション診断サービス】

お客様のWebアプリケーションについてペネトレーションテストにより脆弱性の有無を検査し、検出された問題点とその対策(案)についてご報告するサービスです。
インターネットからアクセスが可能なシステム(Webサイト)を対象としたインターネット経由での検査のほか、開発中のWebアプリケーションや社内Web等外部から検査できない/したくないWebアプリケーションを対象としたお客様先での検査もご提供いたします。

ソースコード診断サービス

アプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することが本来求められる姿です。アプリケーションに一貫したセキュリティ対策を施し、根本から脆弱性を排除するには、ソースコード検査が有効です。

しかし、ソースコード検査を手作業、目視で実施する場合、ソースコード4000行に対して、セキュアプログラミングのエキスパート1人で最低3日掛かると言われています。ソースコード10万行程度の中規模アプリケーションであれば、エキスパート1人で最低3ヶ月の作業工数が算出されることになります。

ソースコード解析ツールを使用することで、アプリケーションのソースコードに内在する脆弱性を短時間に網羅して検査することができます。

更に、弊社専門家がツールの結果を分析し、報告書をまとめますので、お客様は検出された問題とその原因個所のほかに、検出された問題のなかでも特に緊急を要する問題がどれか把握することができ、早期の対策が可能となります。(クイックタイプは除く)

また、開発段階でソースコード診断サービスをご利用いただくことで、修正期間を含めた開発期間・工数の低減ならびに品質維持が可能になります。

大規模なソースも、全体を網羅し流れを追って検査、短期報告することができ、また、その後のセキュア開発基準の策定にもご利用頂けます。

既存及び検収フェーズのアプリケーションへの診断

既存及び検収フェーズの完成済みのアプリケーションの場合、アプリケーションを構成する全ソースコードを一度に診断します。診断結果に基づき脆弱性を修復した場合、修復できたことを確認するための再診断も可能です(オプション)。

既存及び検収フェーズのアプリケーションへの診断

開発段階のアプリケーションへの診断

アプリケーション開発工程の製造初期から検収・納品前までに、複数回に渡り開発途上ソースの診断・報告を実施します。開発の初期から診断を実施することにより、脆弱性が発見された場合の修復コストを最小限に抑えることができます。また、診断結果のレポートを開発者にフィードバックすることにより、開発者はセキュアコーディングに関するノウハウを得ることができ、セキュア開発の能力向上に繋がります。結果、製造工程の中で、初めから脆弱性を作り込まずにアプリケーションを開発することで、手戻りを最小化し、セキュリティ品質を最大化する事が最大のメリットであると言えます。

開発段階のアプリケーションへの診断

ソースコード診断サービス ソースコード診断サービスとは

■アプリケーションの構造(ソースコード)の点検

車で例えると、ブレーキの効き目を検査するのに、ドライバーが車を試乗しブレーキペダルを踏んで効き具合を検査するのがWebアプリケーション診断サービス(いわゆるブラックボックステスト)で、ブレーキパッドが擦り減っていないか、ブレーキオイルが目減りしていないか検査するのがソースコード診断サービス(いわゆるホワイトボックステスト又はグラスボックステスト)に該当します。

■ブラックボックステストと比較した場合のメリット

  • 稼働中のWebアプリケーションへの動的な攻撃検査と違い、ソースコードの論理的な静的検査であるため、不正データの挿入やWebページの改竄のようなシステムへの影響がなく、安全に診断することができます。

  • プログラムの根本であるソースを直接解析し、「危険なデータを無効化しているか」というような検査をするため、問題の原因個所を特定できます。

  • 特にアプリケーション開発(施工)業者にとっては、ダイレクトに問題点を把握することができ、どこをどのように修正すれば良いか特定するための工数を削減できます。

  • アプリケーションの誤動作や極めて限定的な条件でしか発生しない問題(例えばサーバーディスクリソースが枯渇した場合のエラー処理のコードに脆弱性の問題があるか等)を検出することができます。

  • HTTPを経由した攻撃だけではなく、サーバー設定ファイルやDBのデータを悪意あるコードに改ざんする等、内部者やバックドアからの攻撃に対しての脆弱性も検出することができます。
    従って、悪意あるコードをエスケープするサニタイジング対策を悪用したセカンドオーダーSQLインジェクションの対策不備もSQLインジェクションとして検出可能です。

  • セキュリティの問題点だけではなく、「リソースの開放漏れ」や「メモリーの競合」などアプリケーションの可用性、信頼性を損なう問題も検出することができます。

サービスの特徴

分かり易い診断レポート

  • リスクの大きさ、優先度について、4つのレベルに問題点を振り分けます。

  • 問題点の原因個所をファイル名・行番号で明示します。

  • 問題別に対策方法例を提示します。

複数言語の対応

  • 複数の言語で構成されるアプリケーションも、異なる言語間で流れを追い、論理的に脆弱性を検出します。

網羅性、統一性

  • ホワイトボックステストによる網羅的で統一されたソースコードチェックを提供します。

大規模システムも短時間で検査

  • ツールを用いることで、人手では不可能な何万、何百万のソースコード全体を短時間に検査します。
    検査による開発日程への影響を最小限にすることにつながります。

ソースコード診断サービス サービス概要

素早く、リーズナブルで品質の良い診断サービス

近年、サイバーテロを筆頭に、アプリケーションへの攻撃は、自動化、巧妙化への進化を加速しています。
一方、アプリケーションの開発予算の減少とともに開発期間は短縮しており、また、ユーザからの過剰な要求や新技術の登場により機能要件が高度化、複雑化しています。そのため、開発の現場はデスマーチという単語に代表されるような過酷な状況にあり、「納期の厳守」と「セキュリティ品質の確保」という2つの課題を両立するのが極めて困難です。
当社が提供するソースコード診断サービスは,高性能セキュリティ検査ツールを使用して、ソースコードに潜在する脆弱性を検査し、検出された問題点とその原因箇所、推奨対策方法についてご報告するサービスです。大規模なソースも、全体を網羅して流れを追跡し、高い精度で検査することが可能です。また、ソースコード受領後、約1週間程度(クイックタイプ)で早期の結果レポート提出が可能です。そのため、納品まで時間のないお客様でも、短期に低価格でソースに内在する脆弱性とその原因個所を把握することができ、セキュリティ品質の効率良い確保に貢献します。
アプリケーションの出荷前や定期的な診断のほか、開発段階でソースコード診断サービスをご利用いただくことで、修正期間を含めた開発期間・工数の低減ならびに品質維持が可能になります。

サービスメニュー

タイプ 内容
クイック
  • ソースコードをご送付頂き、弊社環境にてスキャンします。
  • 診断結果レポートは、診断ツールで出力した標準のものとなります。
アドバンスド
  • ソースコードをご送付頂き、弊社環境にてスキャンします。
  • 診断結果レポートは、弊社専門家による分析結果を含む診断報告書をご提出し、報告会を実施致します。

サービスの流れ

サービスの流れ

診断日数

クイック ソースコードの送付~スキャンレポート送付 約1週間
アドバンスド ソースコードの送付~報告書の提出と報告会 約1ヶ月半

サービス内容

サービス内容 クイック アドバンスド
スキャン
スキャンレポート
検査結果の該当性分析、総合評価
診断報告書
報告会
診断結果サポート
(Eメールによる問合せ)
スキャン

セキュリティ検査ツール を使用して、ソースコードに潜む脆弱性を検査します。

スキャンレポート

診断ツールの出力したスキャンレポートをご提出いたします。

検査結果の妥当性分析、総合評価 ※アドバンスドのみ

セキュアアプリケーション開発の経験豊富な専門家が検査結果の妥当性を分析し、総括いたします。

診断報告書 ※アドバンスドのみ

専門家の総括を記載した、弊社独自のフォーマットによる報告書をご提出します。

報告会 ※アドバンスドのみ

お客様をご訪問し、報告書の内容についてご説明いたします。

診断後結果サポート(Eメールによる問い合わせ) ※アドバンスドのみ

報告した脆弱性に関するサポートを行います。
サポート期間は、報告会から最大2週間です。

お客様にご用意いただく内容

クイック、アドバンスド
  • 弊社指定のソース環境に関するヒアリングシートの記入
  • 診断対象アプリケーションの全ソースコードと利用しているライブラリ

レポートサンプル

■スキャンレポート

脆弱性レベル別サマリーページ
(脆弱性レベル別サマリーページ)
脆弱性のカテゴリ別サマリーページ
(脆弱性のカテゴリ別サマリーページ)
脆弱性詳細情報ページ
(脆弱性詳細情報ページ)
脆弱性が検出されたプログラム情報ページ
(脆弱性が検出されたプログラム情報ページ)

■診断報告書

脆弱性診断結果サマリ
(脆弱性診断結果サマリ)
各脆弱性の目視確認結果と推奨対策案(1)
(各脆弱性の目視確認結果と推奨対策案(1))
各脆弱性の目視確認結果と推奨対策案(2)
(各脆弱性の目視確認結果と推奨対策案(2))
総評
(総評)

ソースコード診断サービス 検査項目

ソースコード診断サービスは、セキュリティ上問題となるプログラムの組み方、アプリケーション品質上の問題点をツールを使用し、検出するサービスです。

■攻撃に対して脆弱なコーディング

不正なデータの注入等、攻撃に対する対策を施したコーディングであるか、ソースコードの流れを追跡し検査します。

検査項目サンプル
  • SQLインジェクション
  • xpathインジェクション
  • OSコマンドインジェクション
  • LDAP等のインジェクション
  • クロスサイトスクリプティング
  • CSRF
  • ディレクトリトラバーサル
  • リモートファイルインクルージョン
  • HTTPスプリティング

■セッション管理方式のチェック

アプリケーションでセッション管理用IDを生成する場合、生成方式にユニーク性、ランダム性の問題がないか等、セッションに関する問題がないか検査します。

検査項目サンプル
  • セッションの管理方式
  • セッションの有効期限
  • セッション固定攻撃の対策
  • セッションハイジャック対策
  • ランダムID等の生成方式のチェック

■システム情報漏えいのチェック

システム情報やエラー情報などの漏洩に繋がるコーディングの検査

検査項目サンプル
  • アプリケーションエラー時の詳細情報の漏洩
  • HTMLコメント
  • DBアクセス時のアクセス制御の不備

■信頼性・可用性の阻害要因のチェック

デッドロックの発生やリソースの開放漏れ等、アプリケーションの通常の利用でも誤動作やシステム停止、パフォーマンス劣化に繋がる信頼性・可用性の阻害要因となるコーディングがないか検査します。

検査項目サンプル
  • メモリ競合(レースコンディション)
  • システムリソースの開放漏れ
  • 実行時エラーの原因となるコーディング
  • NULL参照
  • エラー制御違反

■ソースコードの保守性・可読性に関する問題点のチェック

プログラムの再利用性といた保守性に関する問題やソースの可読性に関するコーディングの問題点がないか検査します。

検査項目サンプル
  • 言語仕様違反
  • コンポーネント、ライブラリ等の公開仕様違反
  • 処理されることのない無駄なコード
  • SUN等のネーミングルール違反
  • 最適でないアクセス修飾子スコープ

プラットフォーム診断

多くの企業・組織でインターネット接続は当たり前になり、インターネットメール等はインフラとして普及してきていますし、インターネット接続を前提としたアプリケーションも増えています。
また、Webによる情報発信やWebを使ったビジネス展開を行っている企業・組織も多いことでしょう。

これらの変化は、多くの利便性を提供する反面、潜在的なセキュリティ上の脅威も増大しています。その対応として、ネットワーク機器やサーバ等の製品のセキュリティホール対策等の基本的なセキュリティ対策を継続的に実施してセキュリティレベルを維持する必要があります。

こうしたお客さまの課題に対して、弊社のプラットフォーム診断サービスは、情報セキュリティの専門家の視点から、各種攻撃に対する個々のネットワーク機器やサーバ等の脆弱性を診断し、その対策案をあわせてご報告いたします。

サービスの概要

脆弱性検査

  • インターネット経由で検査
    インターネットに接続されているネットワーク機器、サーバ等に対して、インターネット経由でリモート検査、擬似攻撃を行います。

    ※インターネットに接続されている機器に対して実際の攻撃者と同様な経路での脆弱性を調査するため、対象機器までの通信経路上でアクセス制限を行っている場合等では、これらの途中経路も含めた脆弱性調査となります。

    ※オンサイトによる内部ネットワーク内のネットワーク機器、サーバ等に対する検査については、別途ご相談ください。

  • ツールによる検査
    複数のツールを使用することにより、ツールに依存しない精度の高い調査を行います。
  • 手作業による検査
    経験豊富な専門家が手作業(マニュアル)による診断も行います。

報告書

  • 検査によって検出された問題点とその対策について、報告書をご提出します。
  • 重大な問題が発見された場合、緊急連絡を行います。

報告会

  • お客様をご訪問し、報告書の内容についてご説明いたします。

サービスの特徴

最新の攻撃手法に対応

  • 頻発する不正アクセス事件や新しい攻撃方法に対応するため、診断項目や利用するツールのブラッシュアップを随時行っています。

高い検査品質

  • 複数の診断ツールを利用するとともに、経験豊富な専門技術者が手作業による診断も行います。
  • これにより、ツールでは検知されない問題の発見、誤検知の排除、監査証跡の取得、発見された問題を実際に悪用できるかどうかの検証等、品質の高い診断をご提供します。

主な検査項目

不要な通信ポートのチェック(ポートスキャン)

攻撃に悪用される危険性のある不要な通信ポートが存在しないか診断します。

  • 外部から接続可能な通信ポート(リッスンポート)

バナーのチェック

攻撃に悪用される危険性のある情報が外部から取得できないか診断します。

  • OSやWebサーバなどの製品名やバージョン情報 など

セキュリティホールのチェック

既知のセキュリティホールへの対策が適切に行われているか診断します。

  • 最新のセキュリティパッチの適用状況
  • OSやWebサーバなどの設定状況 など

SPAMリレーのチェック

メールサーバがSPAMメールの不正中継に悪用される危険性がないか診断します。

  • 設定状況 など

DoS(サービス不能)攻撃への対策のチェック (オプションで実施)

サービス停止を伴う攻撃への対策が適切に行われているかを診断します。

※ この診断項目は オプションです。

Webアプリケーション診断サービス

インターネットの普及に伴って、Webサーバを用いたサービスは、企業・組織として単なる情報発信の場としてだけでなく、近年ではオンラインショッピングやバンキング・株式等の各種取引、顧客とのコミュニケーションといった顧客との接点として活用されています。
企業・組織にとってWebサービスが魅了的であるということは、同時に悪意を持った人間にとっても魅力的であるということであり、このことは、Webサービスの重要性が日々増加しているとともに、企業・組織にとってWebサービスを通して取り扱われる情報やWebサイトそのものを守ることの重要性が増しているとも言えます。
Webサイトを運営する企業・組織は、新しいサービスを提供しつつ、同時に、日々進化・複雑化する攻撃からWebサイトを守るための対策を講じる必要があります。
弊社のWebアプリケーション診断サービスは、Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、情報セキュリティの専門家の視点から、お客様のビジネスの安全性を脅かす要因について適切な対策が行われているかを診断し、その対策案をあわせてご報告いたします。

サービスの概要

脆弱性検査

  • インターネット経由で検査
    お客様のWebアプリケーションに対して、インターネット経由で、ツールによる網羅的なチェックと経験豊富な専門家の手作業による検査を行います。インターネットからアクセスが可能なシステム(Webサイト)が対象です。
  • お客様先での検査
    お客様サイトに一時的に検査システムを設置して、ツールによる網羅的なチェックと経験豊富な専門家による手作業による検査を行います。
    開発中のWebアプリケーションや社内Web等外部から検査できない/したくないWebアプリケーションが対象です。

    ※別途出張旅費を頂く場合がございます

    お客様の環境・ご要望により、上記を選択あるいは併用して検査いたします。詳細は、別途後相談ください。

報告書

  • 検査によって検出された問題点とその対策について、報告書をご提出します。
  • 重大な問題が発見された場合、緊急連絡を行います。

報告会

  • お客様をご訪問し、報告書の内容についてご説明いたします。

サービスの特徴

最新の攻撃手法に対応

  • 頻発する不正アクセス事件や新しい攻撃方法に対応するため、診断項目や利用するツールのブラッシュアップを随時行っています。

高い検査品質

  • 複数の診断ツールを利用するとともに、経験豊富な専門技術者が手作業による診断も行います。
  • これにより、ツールでは検知されない問題の発見、誤検知の排除、監査証跡の取得、発見された問題を実際に悪用できるかどうかの検証等、品質の高い診断をご提供します。

主な検査項目

ユーザ認証方式のチェック

  • ユーザ認証を回避してログイン可能でないか
  • ログインIDやパスワード強度 など

セッション管理方式の脆弱性のチェック

  • セッションハイジャックによるなりすましの危険性の有無
  • Cookieの設定が適切か など

クロスサイトスクリプティング、SQLインジェクション攻撃への脆弱性のチェック

  • 入力データが正しく検証されているか
  • データベースで不正な操作が行われる危険性の有無 など

トランザクション処理における脆弱性のチェック

  • 権限のない機能を利用される危険性の有無
  • 不正な実行順序や入力値によるシステム悪用の危険性の有無 など

ユーザに対するセキュリティ上の配慮のチェック

  • フィッシング詐欺による被害を受けにくい仕様か
  • ユーザが安心してサイトを利用できるような仕様か など

暗号化方式のチェック

  • 重要情報の通信に対する暗号化処理の有無
  • 暗号化の強度 など

XML処理固有のセキュリティ対策のチェック

  • 検査対象がXMLを取り扱うアプリケーションの場合のみ