日々深刻化する
セキュリティリスクに
システム監査及び脆弱性診断を

高度なセキュリティツールと
ホワイトハッカーによるセキュリティ診断で、
あなたの会社の大切な情報資産を守ります。

こんなありませんか?

  • 既存システムが度々トラブルを起こすのでシステム監査を依頼したい

  • サイバー攻撃に対し強度なセキュリティを維持したい

  • ツールだけでは検知しにくい脆弱性をどう扱えば良いかわからない

  • 脆弱性を検知しても具体的にどう対処したら良いかわからない

  • 自社システム、アプリにセキュリティ面の問題がないか知りたい

  • 専門家と対話し、今後のセキュリティ方針を検討していきたい

ひとつでも当てはまる方はにご相談ください。

サイバーセキュリティ診断サービスは、
こうしたお悩みを解決できます!

セキュリティ診断サービスは、
高度なセキュリティ診断ツール

セキュリティの最新動向を熟知したホワイトハッカー(専任技術者)による、
サイバーセキュリティサービスです。
サイバー攻撃の
脅威に立ち向かう

脆弱性診断サービス概要

侵入テストと脆弱性診断から得た評価に対して、開発チームに解決策を指示し、リスクを未然に防ぎます。
  • ペネトレーションテスト

    模擬攻撃を行うことでセキュリティを評価し、攻撃者が悪用する可能性のある脆弱性を見つけます
  • 脆弱性診断・評価

    CVSSなどを基準にしたチェク項目で脆弱性の検出を行い、リスクの評価を行います
  • 開発チームへの指導

    ペネトレーションテストと脆弱性診断で発見したリスクに対して、具体的な解決策の指導を行っています

セキュリティ・監査準拠基準

GeNEEでは、以下のセキュリティ・監査基準に従って各種テスト・評価・フィードバックを行います。
  • OWASP
    オープンウェブサイト
    セキュリティプロジェクト
  • OSSTMM
    オープンソースセキュリティテスト
    方法論
    マニュアル
  • PPCI-DSS
    ペイメントカード業界データ
    セキュリティ基準
  • GDPR
    一般データ保護規則

システム監査・脆弱性診断の対象

  • システム監査
    既存システム・アプリの問題点抽出
    システム・アプリ監査報告書作成
  • ペネトレーション
    テスト
    Webアプリケーション診断
    スマートフォンアプリ診断
  • プラットフォーム /
    ネットワーク診断
    クラウド設定監査
    PF評価・診断

診断体制と特徴・
期待できる効果

アプリケーションやプラットフォームに対する
脆弱性や攻撃ルートを診断、対策案を提示

脆弱性診断サービスでは、Webアプリケーション、スマホアプリケーション、プラットフォーム(サーバ・クライアント・ネットワーク機器のOS/アプリケーション/サービス)、IoT機器(組込機器)などの脆弱性の診断や、それら脆弱性を繋いで実際に攻撃可能なルートの診断を行い、分析結果の報告と今後必要な対策案およびその効果を提示します。
  • セキュリティチェック
    監査担当者
    セキュリティスペシャ
    リストチーム
  • 脆弱性診断・システム監査
  • 監査報告書作成

特長

  • セキュア開発・運用を推進してきた豊富な実績やノウハウに基づいた診断が可能
  • 脆弱性診断の結果をレポートで報告するとともに、発見された脆弱性や攻撃ルートの危険度および内容の説明を行い、影響範囲や根本原因をふまえた対策方針を提案

効果

  • 発見された脆弱性や攻撃ルートに対して、適切な対策を施すことにより、システム環境をセキュアに保つことが可能
  • サイバー攻撃ルート診断サービスでは、セキュリティ対策を実施した場合にどの程度危険度が下がるかを確認でき、効果的な対策を把握可能
  • 既知の脆弱性やそれらを利用した攻撃ルートが見つからなかった場合でも、見つからなかったことを証明でき、定期的に実施することでセキュリティレベルの維持と向上が可能

主な診断項目

OWSPトップ10リスク 設定ミス等による情報漏洩
セッション推測による不適切な承認有無確認 FW、ライブラリを対象とした既知の脆弱性診断
セッション期限切れ有無確認 Dos(サービス拒否)攻撃
書式文字列攻撃、LDAPインジェクション、OSコマンド実行、SQLインジェクション 不適切な認証箇所の有無、脆弱性を伴うID、パスワード等の確認
サービス拒否、機能の不正利用・悪用、不適切な実行プロセスの有無確認 クロスサイトスクリプティング、コンテンツ詐称
アプリ設定ファイルの診断、権限の悪用有無確認 ディレクトリリストチェック、システム情報漏洩、パス乗り換え、リソースの位置確認
秘密情報の漏洩診断(HW内蓄積データ情報、外部サーバ通信情報、ローカルデータベース、バックアップファイル) なりすまし診断(セッション情報管理含む)
スマホアプリ連携機能不正利用診断 ビジネスロジックの不備やエラー箇所特定
スマホアプリ内課金不正利用診断 WebView診断(HTML表示の脆弱性状況確認)
遠隔SWを用いたプログラム実行 アクセス制御のエラー有無確認
不正アクセス、不正ログイン ペネトレーションテスト(侵入テスト)
バックドアプログラムの有無 クラウド設定監査
サービス妨害 既知情報(脆弱性)から派生する漏洩

脆弱性診断フロー

  • 1

    テスト環境のご準備と
    事前ミーティング

    御見積りに必要な情報のご提出、秘密保持契約の締結、テストスコープ(範囲)とテスト方法の決定、テスト環境の構築、テストデータの準備、レポートラインの調整、診断実施日程等の決定
    ※弊社推奨としては、システムやアプリを上市又は刷新する数カ月前に実施することをお勧めします。
  • 2

    仕様書・設計書類の共有と
    システム事前調査・分析

    秘密保持契約を前提として、お持ちの仕様書・設計書類を共有いただき、そちらを基にQAのテストケースを事前調査・分析します。仕様書・設計書類をお持ちではないお客様の場合、追加工数はかかりますが、実際のソースコード等を追跡いたします。
  • 3

    脆弱性診断の実施

    自動化ツールを駆使して基本項目のスキャン、ペネトレーションテスト、侵入テストを実施し、巨視的に脆弱性箇所の有無を洗い出します。
  • 4

    手動によるセキュリティ診断の実施

    セキュリティ業界標準のOWASPテスティングリストによる診断により、微視的なセキュリティ診断を進めていきます。
  • 5

    システム監査報告書の提出

    脆弱性診断とセキュリティ診断によって抽出された脆弱性をリスト化し、各脆弱性が与える具体的な影響とその評価、脆弱性に対するアプローチ(解決手法)、緊急度・重要度によるマトリクス総合評価等をシステム監査報告書にまとめて提出いたします。一つの目安として、項目3~5までに2週間~3カ月程お時間をいただいております。※システムやアプリの規模、仕様書・設計書類の整備状況によって変動がございます。
  • 6

    システムレビュー(脆弱性除去)

    お客様からご要望をいただく場合、弊社規程に従って脆弱性レベルが「中」以上の事案に対し、システムレビュー(脆弱性除去)を実施します。
    ※弊社推奨としては、システムやアプリを上市又はリプレイスする1カ月前に実施することをお勧めします。
  • 7

    上市・刷新及び再テストの実施

    脆弱性除去を実施した後、システム・アプリの上市・刷新を行います。必要に応じて抽出された脆弱性と同様の事象が発見されないように、再テストを行います。システムレビューを終えたからといって安心はできません。GeNEEでは最後の最後まで手を抜かず、システム・アプリ内部をチェックいたします。

よくあるご質問

監査と診断は内容が異なりますか。

異なります。弊社のシステム監査は、システム内部が抱える問題点を洗い出し、それをどのように解決するかをご提案するものとなっています。一方、脆弱性診断サービスは、Webアプリやスマホアプリ、その他ソフトウェアに脆弱性が存在しないか、セキュリティ技術者の立場から確認を行う検査サービスとなります。そのため、目的に応じてそれぞれを使い分ける必要があります。

既存ベンダーが開発したシステムが頻繁にトラブルを起こしています。そのようなケースでもシステム監査をお願いすることはできますか。

ご対応可能です。既存のドキュメント類(基本設計書や詳細設計書、仕様書など)をご提供いただき、弊社GeNEE独自の質問表、インタビュー調査を行いながら、本来あるべきシステム像を描写し、そちらもシステム監査報告書の中でご報告させていただきます。

アクセス制限のある環境下でも脆弱性診断サービスをお願いすることはできますか。また、WAF や IPS といった設備で保護している環境に対しても診断を行っていただくことはできますか?

お客様側でIP アドレスによるアクセス制限を付与している場合、弊社からのアクセスに対して許可をお願いしております。また WAF/IPS などの防御機能が施されている場合には、脆弱性診断を行う際に弊社 IP アドレスへのブロックを解除いただくようにお願いしております。当該防御機能により、診断リクエストがブロックされてしまいますと Web アプリケーションまで通信が届かず、正確な診断結果を出すことができません。

脆弱性診断は具体的にどのように実施するのでしょうか。

原則、遠隔ソフトウェアを利用し、診断を行います。一般ユーザや外部からの攻撃者と同じ目線で、弊社からインターネットを経由して貴社のWebアプリ、システム、ソフトウェアへアクセスし、様々なデータ(文字列など)を送信することにより診断していきます。

システム/アプリ内部の全てを診断する必要がありますか。

動的要素を伴う画面は全て診断することが望ましいです。対象の判断について弊社にて確認は可能ですので、システム/アプリ閲覧に必要な情報を開示いただければ確認させていただきます。脆弱性診断にご予算のご指定がある場合、特に診断対象の画面をご指定いただくか、システム/アプリ構成を確認の上、優先度の高い画面から着手するといったご提案も可能です。

診断は定期的に実施した方が良いですか。

日々、様々な脆弱性が発見されていますので、定期的な診断をお勧めします。ただし、Webアプリケーション診断に限定しますと、新たな攻撃手法が日々登場しているわけではありませんので、Webアプリケーションに大きな改修などを施すことがない前提でしたら定期的な診断は不要かと考えます。Webアプリケーションの改良・改修などを行う際には、改修箇所を重点的に都度診断を行う方がよろしいかと考えます。

AWS(Amazon Web Service)の付随機能とは異なりますか。

AWSに付随する脆弱性診断サービス、Amazon Inspectorは、サーバ内部における自動スキャンツールとなりますので、同診断サービスで検知できる対象は一部に限定されます。具体的には、同診断サービスでは、Webアプリ診断は実施されません。サーバ内部に存在するソフトウェアのバージョンを確認し、脆弱性を洗い出すものです。同診断サービスでも数多くの脆弱性が見つかることがありますが、リスクとしてそこまで悪さをしないものが多いです。
一方、弊社GeNEEの脆弱性診断は、Amazon Inspectorで行われる診断に加えて、Webアプリ診断も実施します。こちらの診断により、Web特有の脆弱性を抽出することができます。認証関連の不備やアクセス制御の不備など、Amazon Inspectorなどの自動ツールでは見つけることができないものを抽出し、診断結果をお伝えします。

単体試験や結合試験の際に脆弱性を確認することはできないのですか。

試験と脆弱性診断では意味合いが異なります。具体的には実施する目的、使用ツール、ワークフロー、担当する人間のスキルセットなどが異なり、脆弱性の内容によってセキュリティエンジニア(専門家)による対策の施しが必要になります。
試験工程では通常、あらかじめ立てたテストケースのテスト計画書に従って、シナリオ、画面のボタン・UI動作の操作確認を行います。他方、弊社GeNEEが提供する脆弱性診断サービスでは、セキュリティエンジニアが策定したチェックリストやプロキシツールを利用し、個人情報漏洩等の潜在リスクが存在しないか、多面的に調査します。セキュリティに特化した専用ツールを経由して直接APIを操作したり、データ加工・編集を行い、脆弱性の有無を明らかにします。

↑