セキュリティ対策の第一歩! 脆弱性を可視化しリスクを未然に防ぐ
セキュリティ診断サービス
- セキュリティ・ゼロトラスト
- セキュリティ、BCP対策
セキュリティ診断でセキュリティレベルをチェックし、リスクへの対策をサポート
セキュリティ診断サービスとは、システムの状態や脆弱性の有無、どのような脆弱性があるかを診断し、検出された脆弱性とその対策案を提示するサービスです。
「プラットフォーム診断サービス」「Securify Webアプリケーション診断」「Webアプリケーション診断サービス」「ペネトレーションテスト」のラインアップから、お客様のご希望の診断範囲・レベルにあわせてご提供します。
サイバー攻撃や情報漏えい事故などのリスクを未然に防止し、対策に繋げることができます。
このような企業さまへ
システムのセキュリティレベルを確認したいお客様
Webサイト公開に向けて安全性を確認したいお客様
第三者による脆弱性診断実施が求められるお客様
定期的な脆弱性診断実施が必要なお客様
インシデント発生後に実施した対策が十分か確認したいお客様
サービスの特長
診断対象・レベル別でサービスラインアップをご用意
サイバー攻撃の多様化・被害の増加に伴い、セキュリティ対策の1つとして脆弱性診断を実施する企業は増えてきています。
経済産業省の「サイバーセキュリティ経営ガイドライン」※でサイバーセキュリティリスクへの対策として、脆弱性診断が挙げられているほか、
複数のガイドラインで脆弱性診断の実施が、さらにガイドラインによってはシステムリリース後の定期的な診断までが求められています。
このような昨今のニーズ増加にあわせて、弊社では診断対象とレベル・コスト別に複数のサービスを用意しています。
プラットフォームを診断する「プラットフォーム診断サービス」、Webアプリケーションを診断する「Securify Webアプリケーション診断」と「Webアプリケーション診断サービス」、侵入可否の診断に特化した「ペネトレーションテスト」から、お客様が求める診断対象・レベルやコストに応じて、最適なサービスを提供します。
- 出典:「サイバーセキュリティ経営ガイドライン Ver3.0」(経済産業省)
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
低コストで・手軽に・何度でも診断できるSecurify Webアプリケーション診断
「Securify Webアプリケーション診断」は、株式会社スリーシェイクが提供するクラウド型Webアプリケーション脆弱性診断ツールです。
分かりやすいUIで、セキュリティに関する専門知識がなくとも、お客様ご自身で手軽に診断を実施することができ、セキュリティ診断業者による従来型の診断サービスを利用するより費用を抑えることが可能です。
また、診断回数に制限がないため、定期的な診断が求められるガイドラインへの対応や、アジャイル開発や保守開発等の継続的な開発における脆弱性チェック等、複数回の診断が必要となるケースでご活用いただけます。
専門家による高品質な各種診断サービス
専門家による各種診断サービスである「プラットフォーム診断サービス」「Webアプリケーション診断サービス」「ペネトレーションテスト」では、複数の診断ツールをを利用するとともに、経験豊富な専門技術者が手作業による診断も行います。
利用するツールや診断項目は、新しい攻撃方法に対応するため、随時ブラッシュアップを行っています。ツールでは検知されない問題の発見や誤検知の排除、監査証跡の取得、発見された問題を実際に悪用できるかどうかの検証等、品質の高い診断を提供します。
サービス内容
サービスラインアップ
診断対象とレベル・コスト別でサービスラインアップをご用意しています。
| プラットフォーム診断サービス | 診断対象がプラットフォーム(サーバやネットワーク機器等)で、専門家による脆弱性診断を求めているお客様向け |
|---|---|
|
診断対象がWebアプリケーションで、定期的に脆弱性診断を行いたい、手軽さ・コスト重視で選びたいお客様向け
|
|
| Webアプリケーション診断サービス | 診断対象がWebアプリケーションで、専門家による、より高品質で細かい脆弱性診断を求めているお客様向け |
| ペネトレーションテスト | 外部からの侵入可否の観点に特化した、専門家による診断を求めているお客様向け |
プラットフォーム診断サービス
弊社の専門家が各種攻撃に対する個々のネットワーク機器やサーバ等の脆弱性を診断し、検出された問題点とその対策案をあわせてご報告いたします。
診断の流れ
- お客様の環境やご要望をヒアリングします。
- インターネット経由もしくはお客様先で、診断ツールによる網羅的チェックと専門家による詳細検査を行います。
- 検査によって検出された問題点とその対策について報告書をご提出。また、報告会にて内容をご説明します。
主な検査項目
- 不要な通信ポートのチェック
- 外部から接続可能な通信ポートのチェック
- セキュリティホールのチェック(OSやWebサーバの製品名やバージョン情報等)
- 最新のセキュリティパッチの適用状況チェック
- SPAMリレーのチェック
- DoS(サービス不能)攻撃への対策のチェック ※オプションで実施
Securify Webアプリケーション診断
株式会社スリーシェイクが提供する、クラウド型Webアプリケーション脆弱性診断ツール「Securify Webアプリケーション診断」をご提供します。
診断の流れ
- お客様ご自身で設定を行い、診断を開始します。
設定は最短3ステップで、複雑な事前設定は不要です。診断は自動実行(クローリングによりサイト内を巡回)となります。 - 診断結果が一覧で表示されます。発見された脆弱性の詳細、背景、修正方法が提示されます。
診断結果はレポートとしてPDFファイルで出力も可能です。
主な検査項目
SQLインジェクション、クロスサイトスクリプティングをはじめとする約2,000項目に対応しています。
サポート体制
サポートサイトでマニュアル・FAQをご提供します。また、サポート窓口へのお問い合わせも可能です。
Webアプリケーション診断サービス
お客様のWebアプリケーションについて、弊社の専門家が脆弱性の有無を診断し、検出された問題点とその対策案をあわせてご報告します。
診断の流れ
- お客様の環境やご要望をヒアリングします。
- インターネット経由もしくはお客様先で、診断ツールによる網羅的チェックと専門家による詳細検査を行います。
- 検査によって検出された問題点とその対策について報告書をご提出。また、報告会にて内容をご説明いたします。
主な検査項目
- ユーザ認証方式のチェック
- セッション管理方式の脆弱性のチェック
- クロスサイトスクリプティング、SQLインジェクションへの脆弱性のチェック
- トランザクション処理における脆弱性のチェック
- ユーザに対するセキュリティ上の配慮のチェック
- 暗号化方式のチェック
ペネトレーションテスト
弊社の専門家が、想定する脅威に基づきテストシナリオを策定し、複数の手段を用いて疑似攻撃を行うことでシステムへの侵入を試行します。
検出された問題点の詳細とリスクの影響を分析・評価し、ご報告します。
診断の流れ
- お客様の環境やご要望をヒアリングし、対象システムの脅威分析や攻撃者の侵入経路/目的設定を行い、リアルなテストシナリオを作成します。
- 作成したテストシナリオに応じて、実際のテスト(疑似的なサイバー攻撃)を行います。
- テストの実施結果、検出された問題点の詳細とリスクの影響を分析・評価し、ご報告します。また、報告会にて内容をご説明いたします。
利用イメージ
最新のサイバー攻撃に備える定期診断
日々進化し、増加しているサイバー攻撃への備えとして、最新の攻撃やリスクにも対応ができているかの確認や、以前発見した脆弱性への対応が十分かの再確認を目的に、定期的にプラットフォーム診断サービスを活用。
JPCERT/CCが提示する指針に基づいた対策
JPCERTコーディネーションセンター(JPCERT/CC)でも、Webサイトへのサイバー攻撃の備えとして、年に1回Webアプリケーション診断の実施を推奨しています。
この指針に基づき、システム構築時に第三者評価としてWebアプリケーション診断サービスを利用。
また、リリース後の定期診断に、Securify Webアプリケーション診断を活用。
- 出典:「Webサイトへのサイバー攻撃に備えて 2018年7月」(JPCERTコーディネーションセンター(JPCERT/CC))
https://www.jpcert.or.jp/newsflash/2018071801.html - JPCERTコーディネーションセンターについて
https://www.jpcert.or.jp/about/
価格・お支払い方法
まずはお問い合わせください
ご要件をお伺いしお見積りいたしますので、まずはお問い合わせください。
資料ダウンロード
お問い合わせ
-
セキュリティ診断サービスにつきまして、お気軽にお問い合わせください。
- Securifyは、株式会社スリーシェイクの登録商標です。