脆弱性診断

HOME > サービス > 脆弱性診断

脆弱性診断 概要

セキュリティサービス

自動診断と手動診断を組合せ高精度の脆弱性診断を提供しています。

オンライントレードやネットショッピング、企業の情報公開など、ビジネスにおけるWEB活用は今や公私を問わず必要不可欠な存在になりました。その一方で、企業のネットサイトは、悪意ある攻撃者の情報システムへの侵入経路として危険にさらされており、その脆弱性排除は企業の事業継続性における大きな課題になっています。脆弱性診断は、このような悪意ある攻撃を受ける前に、自らリスクを発見し、防御するための問題特定ツールです。BBSecの脆弱性診断は、精度の高い手動診断と自動診断を組み合わせ、お客様システムの健全化に貢献しています。

診断の流れ

診断範囲確定後、ツールによる自動診断とエンジニアによる手動診断を行います。ツール診断で発生する誤検知や過検知、検知の見落としを人的な診断を行うことで補い、正確な実態を把握することができます。加えて、発見した脆弱性にどのように対処すべきかの提言を準備し、報告会でご説明させていただきます。さらに、報告した脆弱性への対策実施を再度確認する再診断も準備しています。

   
手順 概要
調査 全案件に対し、対象システムの事前調査を実行し診断対象のリスト化を行います。このリストを元にお客様と詳細確認を行い、ページ単位で重要度を把握した上でスケジュールやお見積もりを作成します。お客様にご満足の行く費用対効果を提供する源泉の作業となります。
診断範囲確定 事前調査を元に、お客様のニーズや対象システムの性質にあわせ診断範囲を確定します。お客様再確認のもと診断範囲を確定することで、指定の対象を確実に診断します。
ツール診断 各種商用/独自開発ツールによる自動検査を行います。長年の経験により蓄積された診断ノウハウと最新の診断手法を機械化し、診断内容の網羅性を維持した診断を行います。
エンジニア診断 事前調査結果をベースに、診断スペシャリストが深部に及ぶ手動検査を行います。ツールでは見つけられなかった脆弱性の発見するのに、大変効果的です。
分析 最新のセキュリティ情報やトレンド、対象システムの性質に配慮しながらエンジニアの診断結果を更に分析し、検出された脆弱性のリスクレベルの最終判定を行います。その後、診断・分析結果をレーダーチャートなどに図示し、その対策案を報告書として、お客様にわかりやすくまとめます。
報告会 報告書をご説明し、ご理解いただけるまで徹底的な質疑応答を行います。さらにお客様理解度向上に向けて、最新のセキュリティ情報やトレンドのご説明もさせていただきます。
再診断 指摘させていただいた箇所のお客様側での修正が完了し次第、修正箇所への再診断を行い、脆弱性が解決されたかどうか確認します。
診断保守 常時、最新セキュリティ情報にアップデートされる2種類の自社開発システムにより日常的なリスク診断を行います。メイン診断以後の最新攻撃に対する耐久力をご確認いただく上で最適です。
■ 改竄検知サービス:サイトが改竄されていないかチェックします。
■ 自動脆弱性診断サービス:サイトやシステムに脆弱性(既存・新規)が発生していないか検査します。
定期診断 通常半年~1年の間隔で、定期的な診断を行うことをお勧めしています。深部に至る診断は、変化する環境に対応したシステムを維持できているかを確認することができます。

サービス特徴

高精度な脆弱性診断
専門技術者がチームを組み脆弱性診断を実施。セキュリティ情報の常時リサーチに基づく診断パターンの更新により、診断品質の維持と向上を図っています。
様々な業界からの診断依頼に対応
偏ることなく、幅広い業種から脆弱性診断のご依頼を受けています。
継続利用によるメリット
定期的な脆弱性診断は、新たな脆弱性の発見、最新の攻撃手法に対するシステムの耐久力把握、診断結果を活用したリスク管理などに有効です。
コーポレートガバナンスに貢献
第三者による脆弱性診断は、事業継続性に対するコーポレートガバナンスとしても活用されています。

高精度の診断を生み出す3つのポイント

ポイント1:ツール診断と手動診断を組み合わせ高レベルの診断結果を導きだします
バックドア有無の確認
BBSECの綿密な手動診断は、自動診断では発見できない「バックドア」有無の可能性まで特定することが可能です。
※ソースコードレベルのバックドア有無の確認はソースコード診断にて確認可能です。
診断項目の網羅性
手動診断は、ツール診断より多くの問題箇所の特定が可能です。

高レベルの脆弱性診断結果
ツール診断より実態に即した診断結果のご提供が可能です。


ポイント2:お客様のニーズにあわせて作成されるレポート
診断結果の報告書は、エグゼクティブサマリ及び問題箇所の発見傾向と弊社セキュリティエンジニアによる分析、再現手順、問題箇所一覧を備えたレポートを基本とし、重要な問題の発見時にメールする速報、開発者向けのサマリレポート等、お客様のニーズに合わせて、一つ一つ作成します。
ポイント3:脆弱性の評価基準について
CVSS(Common Vulnerability Scoring System)、PCI DSS、OWASP Top10、CAPEC、NIST、CWE等、国際的な脆弱性評価基準をもとに作成された弊社独自基準をもとに、発見された脆弱性のランク付けを行っております。
ツール診断と手動診断によって洗い出された問題箇所は一つ一つ誤検知・過検知を取り除くとともに、対象システムの特性や出現条件の難易度等によりリスク評価を行います。
ツール診断によるリスク評価では機械的な判定になりますが、手動診断ではお客様の業種やシステム環境、保持している情報の種類等、他の要因も考慮したリスク分析を実施します。したがって、どの問題箇所に修正を施すべきかどうかを正確に確認することができます。

サービス一覧

スポット診断、定期診断

WEBアプリケーション脆弱性診断
WEBサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、不正アクセスの入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時の脆弱性初期診断だけでなく、定期的な実施など既存システムの脆弱性対策の確認にも活用することをおすすめしています。

パブリッククラウド向け脆弱性診断
クラウドサービス*1をご利用のシステムに対し、管理ルールの不備や権限設定ミスなど、情報漏洩や内部統制強化の観点から診断を行うサービスです。グローバルIPアドレスが固定できない環境での診断や、設定ミス/パッチの未適用をついた内部ネットワークからの攻撃につながる脆弱性の発見にも効果を発揮します。
*1 Equinix Cloud Exchange経由でサービスを提供しているパブリッククラウドに対応しています。

データベース診断
組織の重要情報が格納されているデータベースの脆弱性を診断するサービスです。内在する脆弱性を事故が起きる前に把握し、対策を施す為の有効な施策となります。さらに本診断では、国内外のセキュリティ基準適合状況やデータベース環境・管理面に関する助言も同時に行うため、企業のリスクマネジメントに対する指標としても効果を発揮します

ネットワーク脆弱性診断
ネットワークへの侵入はシステム構成により企業全体へと影響を及ぼす可能性があり、脆弱性に対する対策は極めて重要です。ファイアウォール等のセキュリティ機器の診断を行うことにより、機器自体の問題やセキュリティパッチ適用漏れを見つけることができます。

ソフトウェア品質分析診断
独自開発ソフトウェアのソースコードを静的に分析し、セキュアなコーディングルールならびにデータフローをチェックし、隠された脆弱性とコーディング品質を検証し、結果をお伝えすると共に回避の為の改善案も提示します。

スマホアプリ脆弱性診断
通信を必要とするスマートフォンアプリに対し、端末にインストールされるアプリケーション・サーバ双方の脆弱性診断を行います。

SaaS型ソフトウェア品質自動分析診断
アプリケーションのソースコードをアップロードするだけで、ソースコードの脆弱性と 品質の診断を行えるSaaS型品質分析自動ツールです。

*1 Equinix Cloud Exchange経由でサービスを提供しているパブリッククラウドに対応しています。


診断保守

WEBサイトコンテンツ改ざん検知
インターネットを介してお客様のWebサイトコンテンツの改ざん・埋め込みを診断する自動ツールです。

デイリー自動脆弱性診断
インターネット越しにお客様サイトの脆弱性をチェックする、自動診断ツールです。

脆弱性診断に関するお問い合せはこちらから