ホワイトハットハッカーによるセキュリティ診断

セキュリティ診断サービス

自社ネットワークやアプリケーションのセキュリティ状況を第三者視点でチェック

システムにおいて100%安全なものはなく、必ずぜい弱性が存在します。
そのため、多くの企業がコストをかけてシステムのセキュリティチェックを実施していますが、全てのぜい弱性の確認・対策を社内の人間が実施するには時間的制約、人的制約から見て限界があります。
そのような課題に対して当社は専任技術者（ホワイトハットハッカー）によるセキュリティ診断サービスを提供します。

セキュリティ診断サービスのメニューには「ネットワーク型診断サービス」「Webアプリケーション診断サービス」を用意しており、多種多様なOS/アプリケーションに対応したセキュリティ診断をご提供します。
また、セキュリティ診断ツールでの確認だけでなく、ホワイトハットハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、より詳細なセキュリティ診断が可能です。

 

「セキュリティ診断サービス」では
このような課題を解決します!

課題

• 自社サービス・システムのセキュリティを第三者の視点から診断したい

解決

• ホワイトハットハッカーによる診断により潜在的なぜい弱性を発見し、セキュリティ対策を実施

 

『セキュリティ診断サービス』の特長

高度なセキュリティ診断ツールによる網羅的な診断

https://www.hitachi-solutions-create.co.jp/solution/security_assessment/image/feature01.png（画像のアドレス）

高度なセキュリティ診断ツールを使用することで、新しいぜい弱性に対応した診断が可能

各種UNIX/Linux/WindowsマシンのOSおよび搭載されているアプリケーション、ルータ、ファイアウォールなどのネットワーク機器に対応した9万種類以上を診断可能

【利用診断ツール:nexpose(Rapid7 社製)】

診断対象の各種ネットワーク機器/OS/ミドルウェアに対して、世の中に公開されたぜい弱性が存在するかどうかをネットワーク経由で診断するぜい弱性スキャナ

【nexposeの特長/利用実績】

誤検知/検知漏れが少ない、業界トップレベルの精度を実現

業界最大のぜい弱性データベース（4万種以上のぜい弱性DB、約70万種のシグネチャ）を所持

各種業界セキュリティ基準に対応した「スキャンテンプレート」により、お客さまの基準を満たすために必要な項目のみ検査可能

一般的なIT機器へのぜい弱性テンプレートに加え、PCI-DSSをはじめとした監査用テンプレートを22種類以上所持

擬似的にサービス不能攻撃を行う検査も選択可能

Rapid7社はさまざまな業界の幅広い顧客や政府機関に製品とサービスを提供しており、米国連邦政府においては、請負業者から情報部や国防省まで広範囲に渡る省庁に採用されています

ワールドクラスのパートナーとの提携（Microsoft社、CISCO社、Palo Alto Networks社、REDSEAL社、VMWare社など）

高度な知識を持つ専任技術者（ホワイトハットハッカー）による診断

https://www.hitachi-solutions-create.co.jp/solution/security_assessment/image/feature02.png（画像のアドレス）

高度なセキュリティやハッキング知識を有する専任技術者（ホワイトハットハッカー）がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施

人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能

ホワイトハットハッカーとは？

ホワイトハットハッカーとは、コンピューターやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。

昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハットハッカーの育成に注力しています。

高度な知識を持つ専任技術者（ホワイトハットハッカー）による診断

 

高度なセキュリティやハッキング知識を有する専任技術者（ホワイトハットハッカー）がさまざまな手法やツールでネットワークやアプリケーションへ疑似攻撃を行い、精度の高い診断を実施

人間が実作業で攻撃を行うため、ツールだけでは発見できないぜい弱性に対応可能

ホワイトハットハッカーとは？

ホワイトハットハッカーとは、コンピューターやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のことを指します。

昨今増加しているサイバーテロやサイバー犯罪の防止のため、日本や世界各国ではサイバーテロ防止のためにホワイトハットハッカーの育成に注力しています。

このような背景の中、日立ソリューションズ・クリエイトでも2016年に社内ワーキンググループを立ち上げ、ホワイトハットハッカーを育成しています。

提供サービス

ネットワーク型診断サービス

Webアプリケーション診断サービス

ペネトレーションテスト

 

ネットワーク型診断サービス

システムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対するセキュリティホールの有無をインターネット経由（リモート）、あるいはお客さま先（オンサイト）で診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

https://www.hitachi-solutions-create.co.jp/solution/security_assessment/image/feature03.png（画像アドレス）

セキュリティ診断サービス 診断結果報告書例：5段階の総合評価。ぜい弱性のついての詳細と対策方法をわかりやすく解説

セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示

セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施

 

■ネットワーク型診断サービス項目一覧

• :商用ツールによる診断のみ　○:商用ツール+ホワイトハットハッカーによる手動診断

 

診断項目              ネットワーク型診断

スタンダード           プロフェッショナル

標準提供

ICMP ECHO要求に対する応答の確認          　●　　　　　　　　　　○

ぜい弱性スキャナ（Nexpose）による診断    　●　　　　　　　　　　○

下位ポートスキャン（1～1023）    　　　　　●　　　　　　　　　　○

上位ポートスキャン（1024～65535）          　●　　　　　　　　　　○

OS情報の確認                   　　　　　　　　　　　　　　　　　　　　○

 

診断項目              ネットワーク型診断

スタンダード　プロフェッショナル

標準提供

動作アプリケーションの確認                         　　　　　　　　　　　　　○

ゾーン転送・bindバージョン照会によるDNSサーバぜい弱性検査        　○

メールサーバの不正中継診断・メールアカウントの類推                         　○

SNMPサービスぜい弱性診断                        　　　　　　　　　　　　　○

FTPサービスぜい弱性診断                            　　　　　　　　　　　　　○

Webサービスぜい弱性診断                           　　　　　　　　　　　　　○

その他の起動サービスのぜい弱性診断                         　　　　　　　　　○

その他    オンサイト報告会              　　　　　　　　オプション提供

再診断（修正後の再確認をセットでご提供）              オプション提供

夜間診断              　　　　　　　　　　　　　　　　オプション提供

休日診断              　　　　　　　　　　　　　　　　オプション提供

 

Webアプリケーション診断サービス

お客さまにて作成されたWebコンテンツに対して、SQLインジェクションなどに代表されるWebアプリケーション特有のセキュリティホールの有無をネットワーク経由にて診断し、診断の結果をセキュリティ診断報告書にまとめ提出します。

https://www.hitachi-solutions-create.co.jp/solution/security_assessment/image/feature04.png（画像アドレス）

Webアプリケーション診断（プロフェッショナル） 診断結果報告書例：実際の攻撃手順をわかりやすく解説

セキュリティ診断の結果、発見されたぜい弱性については、その内容と対策方法を、報告書に分かりやすくまとめて提示

セキュリティ上の問題点を客観的に把握したうえで、効果的なセキュリティ対策を実施

 

Webアプリケーション診断項目一覧

• :商用ツールによる診断のみ　○:商用ツール+ホワイトハットハッカーによる手動診断

 

診断項目              Webアプリケーション診断

スタンダード    プロフェッショナル

標準提供

クロスサイトスクリプティング       　　　　　　　●　　　　　　　　○

SQLインジェクション      　　　　　　　　　　　●　　　　　　　　○

 

診断項目              Webアプリケーション診断

スタンダード    プロフェッショナル

標準提供

OSコマンドインジェクション        　　　　　　　　●　　　　　　　○

ディレクトリリスティング              　　　　　　　　●　　　　　　　○

パストラバーサル                            　　　　　　　　　　　　　　　　○

セッションハイジャックの試み                     　　　　　　　　　　　　○

エラーページの検証                         　　　　　　　　　　　　　　　　○

認証・セッション管理                     　　　　　　　　　　　　　　　　○

強制ブラウジング                            　　　　　　　　　　　　　　　　○

複数のパラメータ同時改ざん                         　　　　　　　　　　　　○

Webアプリケーションのぜい弱性を利用した「なりすまし」                 ○

論理的なぜい弱性（価格改ざんなど）*1                     　　　　　　　　○

その他

オンサイト報告会              　　　　　　　　　　　　オプション提供

画面選定ご支援    　　　　　　　　　　　　　　　　オプション提供

再診断（修正後の再確認をセットでご提供）              オプション提供

夜間診断              　　　　　　　　　　　　　　　　オプション提供

休日診断              　　　　　　　　　　　　　　　　オプション提供

 

*1ツールでは検出が困難なぜい弱性（「パラメータ名」や「アプリケーションの挙動」などから攻撃方法が考察できるぜい弱性）を診断します。

 

ぺネストレーションテスト

お客さまのシステムを構成するサーバーやネットワークデバイスなどに対し、攻撃者が用いる方法や技術を模倣した侵入テストをインターネット経由（リモート）またはお客さま先（オンサイト）で実施し、セキュリティ強度を診断します。診断結果は報告書にまとめ提出します。

ぺネストレーションテスト項目

お客さまへのヒアリングによって分析を行い、テスト対象範囲と内容を決定して最適な攻撃シナリオを作成します。

ご希望があれば再診断（修正後の再確認をセットで提供）、夜間診断、休日診断も承ります。

お気軽にお問い合わせください。

 

自社だけでは見落としがちなセキュリティの盲点を、第三者の視点から発見

当社のセキュリティ診断サービスでは専任技術者（ホワイトハットハッカー）が定期的にお客さまのシステムを診断し、セキュリティ診断で発見したぜい弱性について、その内容と対策方法をセキュリティ診断報告書にわかりやすくまとめて提示します。 システム構築やアプリケーション開発時におけるセキュリティの不安、定期的なセキュリティチェックを行いたいなどのご相談がありましたら、ぜひお問い合わせください。

 

以上が日立ソリューションクリエイトのセキュリティ診断サービスです。プロの目から見た正しい診断は最初に踏み出す第１歩ですね。医療安全の一環としてご参考になれば幸甚です。