ホーム
ソリューション
診断・コンサルティング
セキュリティ診断とは（脆弱性診断・セキュリティ監査）

セキュリティ診断とは（脆弱性診断・セキュリティ監査）

KCCSのセキュリティ診断サービスが選ばれ続ける理由（特徴）
セキュリティ診断サービスメニュー
価格

セキュリティ診断の実績

脆弱性診断選ばれ続けて17年診断対象数10,700システム以上官公庁（自治体）40％サービス 23％情報通信 15％金融・保険 11％運輸 5％医療・福祉 3％その他 3％ ※2021年4月現在

KCCSのセキュリティ診断サービスが選ばれ続ける理由（特徴）

point 1 豊富な診断ノウハウ: 2004年にサービスを提供開始して以来、さまざまな業界に対してセキュリティ診断を実施しています。官公庁をはじめ、サービス業、情報通信業、金融・保険業などにおいて、10,700システム以上のWebアプリケーション／ネットワーク脆弱性診断を実施しています。
外部脅威に対する診断だけでなく、セキュリティコンサルティングサービスで培ってきたノウハウを基にした内部脅威診断など、お客様のさまざまなニーズに合わせたサービスを提供しています。
point 2 セキュリティレベル向上の支援: セキュリティ診断では、さまざまな脆弱性の検出状況を報告します。しかし、脆弱性の結果報告を受けてもその対策が分かりづらいと手の打ちようがありません。KCCSのセキュリティ診断サービスでは「どのようなリスクがあるのか」だけではなく「どのように対策するべきか」という観点でレポートし、お客様企業のセキュリティレベル向上をご支援します。また、報告書提出後も一定期間お問い合わせをお受けしますので、アフターフォローもお任せください。
point 3 高い技術力: 高度なセキュリティ／ハッキング技術を持つ当社のセキュリティエンジニアが、日々発見される脆弱性や新たな攻撃手法に対して技術調査や研究を行っています。また、最新のセキュリティツールや独自開発のツールを駆使し、外部脅威だけでなく内部に潜むセキュリティリスクもあらゆる角度から分析しています。
これらの最新のセキュリティ動向を反映し、常に最先端の技術を活用してサービスを提供しています。

なぜセキュリティ診断が必要なのか

セキュリティ診断とは、システムやネットワークなどを調査し、システム上の脆弱性や政治目的によるハッキング攻撃、個人情報を狙った内部犯行などのさまざまなセキュリティリスクを洗い出すサービスです。
セキュリティの専門家が、攻撃手法の研究結果や、実際の運用経験のフィードバックを基に、攻撃者の視点でさまざまな擬似攻撃を行い、脆弱性や耐性を診断します。

では、なぜセキュリティ診断（脆弱性診断・セキュリティ監査）は必要なのでしょうか。

セキュリティ脅威の多様化

連日のように報道されるセキュリティ事故や各種公的機関からの注意喚起により、企業のセキュリティに対する意識は向上しています。しかし、近年のサイバー攻撃は、攻撃者による周到な準備と攻撃手法の高度化に伴い、セキュリティ製品の導入だけでは防ぐことが困難です。

PC紛失ハッキングサイバー攻撃内部犯行メール誤送信

外部脅威と内部脅威

従来はWebサーバなどの公開システムがサイバー攻撃の標的になることが多く、これらを対象にした脆弱性診断などの外部脅威対策が必要とされていました。しかし昨今では、標的型攻撃などによる内部端末のマルウェア感染や、内部犯行・オペレーションミスなどによる情報漏えい事故が後を絶ちません。攻撃を受けた被害者であるにもかかわらず、サーバやシステムを踏み台とされ加害者となってしまうケースもあり、ビジネスへの影響は計り知れません。このような中で、企業内部のネットワークやクライアント端末のセキュリティ対策など、内部脅威対策の重要性も高まっています。

潜在的なセキュリティリスク

『過去に脆弱性診断を受けてシステムの改修やパッチの適用を行っている』
『クライアント端末のOSパッチは毎月適用している』
など、一般的なセキュリティ対策のみを実施して安心していませんか？

OSだけではなく、ミドルウェアやクライアントソフトなどにおいても日々新たな脆弱性が発見されています。また、管理者の設定ミスやパッチ適用の不備など、対策しているつもりでもセキュリティリスクが潜在しているのが実情です。

人の脆弱性

高度化する攻撃に対応するためには、システムに対するセキュリティ対策だけでなく、運用者や利用者側のセキュリティ意識の向上が欠かせません。例えば、社内ルールを整備し運用していても、たった一人のルール違反によりマルウェアに感染することもあります。実際の現場で正しくルールを守られているかどうかを把握し、改善のための対策（教育）とシステム的な対策をあわせて講じる必要があります。

このように日々高度化する攻撃に対しては、システムだけでなく人的な観点まで含む対策を講じる必要があります。

セキュリティ診断サービスの概要

KCCSのセキュリティ診断サービスは、セキュリティ事故を未然に防ぐため、Webアプリケーション脆弱性診断サービスやネットワーク脆弱性診断サービス、クラウドセキュリティ診断サービスをはじめとする外部脅威のリスクに加え、内部ネットワークやクライアント端末を対象とした内部脅威のリスクを診断する幅広い診断サービスを提供しています。

また、KCCSのセキュリティ診断では、診断結果のレポーティングだけでなく、具体的な対策・方針もご提案します。

KCCSのセキュリティ診断サービスの提供イメージ

公開サーバ・ネットワーク Webサイト：情報漏えい Webアプリケーションの脆弱性ネットワーク機器、サーバの脆弱性不正アクセス外部脅威のリスク：Webアプリケーション脆弱性診断ネットワーク脆弱性診断スマートフォンアプリケーション脆弱性診断 IoTセキュリティ脆弱性診断　内部ネットワーク：内部犯行や標的型攻撃マルウェア感染機密情報・個人の盗取内部脅威のリスク：予防訓練サービスセキュリティポリシー診断エンドポイント診断

セキュリティ診断報告書イメージ

セキュリティ診断サービスメニュー

外部脅威診断（脆弱性診断）

Webアプリケーション脆弱性診断サービス	インターネットやローカルネットワークに接続されたサーバ上のWebアプリケーションに対して、設計や開発の不備によるセキュリティ上のリスクを可視化し、発見された脆弱性に対する対策を提案します。
ぺネトレーションテスト・NW脆弱性診断サービス	外部ネットワークからの攻撃および内部ネットワークへのマルウェアの感染などを想定し、サーバやネットワーク機器の脆弱性や設定の不備によるリスクを可視化、発見された脆弱性に対する対策を提案します。
スマートフォンアプリケーション脆弱性診断サービス	サーバ上のアプリケーションと、スマートフォンにインストールされたアプリケーションの両方の視点からセキュリティ上のリスクを可視化し、発見された脆弱性に対する対策を提案します。
IoT脆弱性診断サービス	インターネットやローカルネットワークに接続したIoTシステム（IoTデバイス、スマートフォンアプリケーション、Webアプリケーション、ネットワーク機器など）の各レイヤーに対するセキュリティリスクを可視化し、発見された脆弱性に対する対策を提案します。
ゲームセキュリティ診断サービス	Webアプリケーションやスマートフォンで提供されるゲームアプリケーションに対し、チート行為によるゲームバランスの崩壊やサービス妨害などのリスクを可視化し、発見された脆弱性に対する対策を提案します。
クラウドセキュリティ診断サービス	ご契約しているクラウドサービスの管理設定上の不備に対して攻撃を受けるリスクを可視化し、会社全体のポリシーを基準に是正を進めるための対策を提案します。
マルウェア耐性診断サービス	お客様のシステム内に存在する端末がマルウェアに感染したことを想定し、現状のセキュリティ対策でどこまで侵入を防ぎ、どこまで被害が発生しうるのかを把握できます。
サイバーリスク健康診断サービス	SaaS型のサイバーセキュリティリスク評価システムであるPanoraysを活用し、攻撃者の「偵察」と同じ目線で自らを「チェック」することで、自社が抱えるサイバーリスクを可視化し、適切な対策を提案します。
PCI DSS準拠診断サービス	PCI DSSの要件に準拠した、脆弱性診断サービス（Webアプリケーション診断、ASV、ペネトレーションテスト）を提供します。

内部脅威診断

セキュリティインシデント予防訓練サービス	さまざまなインシデントシミュレーションを通じ、お客様環境におけるセキュリティ耐性を診断するサービスです。無害化したマルウェア（ホワイトマルウェア）による外部接続や内部探索可否の診断（疑似APT）をベースに、標的型メール訓練や社員による内部不正シナリオによる追加検査などのオプションサービスもご用意しています。
セキュリティポリシー診断	お客様のセキュリティ対策状況のヒアリングなどを通じ、対策や対策の優先順位をレポートします。
エンドポイント診断	マルウェア感染の要因となるパッチの適用状況や主要アプリケーションのバージョンを確認しレポートします。この他に、資産管理ソフトの操作ログ分析などにより、内部犯行対策にも活用可能です。