ぺネトレーションテスト・NW脆弱性診断サービス

概要

インターネットに公開されたサーバには、未知のセキュリティホールの顕在化や攻撃手法の高度化などにより、常に不正アクセスを受ける脅威が存在します。一方、インターネットに公開していない社内システムについても、近年では「標的型攻撃」「内部犯行」による情報流出などの被害が多発しており、セキュリティ対策の必要性が高まっています。被害を未然に防ぐには、情報資産の現状を把握し、内在する脆弱性に対処することが重要です。
KCCSでは、情報セキュリティの問題に対して、情報資産を“正しい姿”に保つという一貫した考えのもと、ネットワーク脆弱性診断サービスとネットワークペネトレーションテストサービスをご提供いたします。

ぺネトレーションテスト・NW脆弱性診断サービス 全体イメージ

1. ネットワーク脆弱性診断サービス:稼働中のシステムへ極力負荷を与えることなくサーバのOSやサービスを確認したうえで、診断対象にどのようなリスクが存在するのかを洗い出します。 脆弱性診断はツールによる情報収集がメインで検出した脆弱性の正誤をエンジニアが精査します。 2. ネットワークぺネトレーションテストサービス:脆弱性診断結果を踏まえ、脆弱性に対する疑似攻撃、パスワード推測調査などを実施し、エンジニアが手動でサーバの侵入を試みます。 ぺネトレーションテストでは、脆弱性診断で洗い出したリスクをエンジニアが検証し、サーバの安全性(侵入の可否など)を評価します。 ネットワーク脆弱性診断サービス 脆弱性や設定の洗い出し ネットワークペネトレーションテストサービス 攻撃成立(被害・影響)の検証

サービス内容

ネットワーク脆弱性診断サービス

リモート診断

インターネット経由で脆弱性診断を実施します。外部ネットワークからの脅威に対するリスク(ソフトウェアのセキュリティホールや設定の不備など)を調査します。

ローカル診断

イントラネット内から脆弱性診断を実施します。内部犯行など、内部からの脅威に対する潜在的なリスクを調査します。

ネットワーク脆弱性診断サービス イメージ

京セラコミュニケーションシステム:検査用PC 診断システム(エンジニアがKCCSの診断環境から、インターネット経由で外部公開しているネットワーク機器やサーバに対して脆弱性診断を実施します。(リモート診断))→Internet(ネットワーク機器やサーバに対してインターネット越しに診断を実施します。(外部)) お客様所有のサーバ:ルータ FW メールサーバ DNSサーバ Webサーバ DBサーバ 検査用PC(エンジニアが検査機器を持ち込み、内部のネットワーク機器やサーバに対して脆弱性診断を実施します。(ローカル診断))

診断詳細

診断項目はこちら
大分類 小分類 項目
サービス稼働確認 TCP TCPポートスキャン
TCPサービススキャン
UDP UDPポートスキャン
UDPサービススキャン
サービスバージョン確認 サービス全般 バナー情報収集
主要サービス診断 FTP FTP匿名接続
FTPサービス脆弱性
SSH SSHプロトコルバージョン
SSH簡易パスワード推測
SSHサービス脆弱性
Telnet Telnet簡易パスワード推測
Telnetサービス脆弱性
SMTP SMTP不正中継
SMTP簡易アカウント推測確認(EXPE,VRFY)
SMTPサービス脆弱性
DNS DNS再帰問い合わせ(DNSキャッシュポイズニング)
DNS非再帰問い合わせ(DNSキャッシュ調査)
DNSゾーン転送
DNSサービス脆弱性
Finger Fingerアカウント情報収集
HTTP/HTTPS HTTPメソッド
サンプルファイル、デフォルトファイル調査
ディレクトリリスティング
パストラバーサル
簡易クロスサイト・スクリプティング
HTTPアプリケーションマッピング
WebDAV/FrontPage脆弱性
HTTP/HTTPSサービス脆弱性
SSLプロトコルバージョン・暗号化強度
SSLサーバ認証
POP POPサービス脆弱性
NTP NTPサービス脆弱性
SNMP SNMP簡易コミュニティ推測
SNMPサービス脆弱性
R系 R系認証
NetBIOS システム情報収集
SMB/CIFS SMB/CIFSアカウント情報収集
RPC RPC情報収集
その他 不正プログラム トロイの木馬
バックドア

報告書

項目 内容
1 エグゼクティブサマリー 総評、リスク、対策指針のまとめを記述します。
2 診断結果 セキュリティランク ホストごとのセキュリティランクおよび総合スコアを記述します。
アプリケーション一覧 ホストごとに検出されたアプリケーションの一覧を記述します。
脆弱性一覧 ホストごとに検出された脆弱性の一覧を記述します。
3 脆弱性詳細 検出された脆弱性ごとに対策や検証例を記述します。
4 診断概要 診断対象の一覧や診断項目などを記述します。

ペネトレーションテストの場合、具体的に悪用可能な脆弱性のみ記載します。

診断結果概要(総合評価・セキュリティランク)

ネットワークペネトレーションテストサービス

リモート診断

インターネット経由でペネトレーションテストを実施します。外部ネットワークからの不正侵入により、被害(個人情報漏えいなど)を受けるリスクがないかを調査します。

ローカル診断

イントラネット内からペネトレーションテストを実施します。内部ネットワークからの不正侵入により、被害(個人情報漏えいなど)を受けるリスクがないかを調査します。

ネットワークぺネトレーションテストサービス イメージ

京セラコミュニケーションシステム:検査用PC(エンジニアがKCCSの診断環境から、インターネット経由で外部のネットワーク機器やサーバに対してペネトレーションテストを実施します。(リモート診断))→Internet(ネットワーク機器やサーバに対してインターネット越しに診断を実施します。(外部)) お客様所有のサーバ:ルータ FW メールサーバ DNSサーバ Webサーバ DBサーバ 検査用PC(エンジニアが検査機器を持ち込み、内部のネットワーク機器やサーバに対してペネトレーションテストを実施します。(ローカル診断))

診断詳細

診断項目はこちら
大分類 項目
フェーズ1:情報収集 脆弱性診断による脆弱性および設定情報収集

前述の脆弱性診断に相当

ユーザ情報収集
フェーズ2:侵入調査 フィルタリング回避
脆弱性検証
パスワード解析
総当り攻撃・辞書攻撃
サービス拒否攻撃(DoS攻撃)

特長

point 1 高精度な診断
複数の診断ツールを使用し、網羅性の高い診断を実施します。
さらに、経験豊富なエンジニアによるマニュアル診断を併用することで、過剰検知や検出漏れを防止し精度の高い診断を実現しています。

ペネトレーションテストでは、侵入者と同じ視点で実際にシステムに侵入を試み、テストを実施します。

point 2 豊富な経験と実績
金融機関を始めとする、厳格なセキュリティレベルを要求されるシステムにおいて多くの実績があります。
  • 銀行、クレジットカード会社、決済代行業者、ECサイト事業者ほか多数
  • 各種監査案件(PCI DSSの内部診断・ほか多数)
point 3 分かりやすい報告書
エグゼクティブサマリー、ホストごとの診断結果(スコアや検出された脆弱性)、脆弱性の詳細情報などからなる詳細な診断報告書を提出します。
システム監査など、さまざまなコンプライアンスで要求される報告書作成にも柔軟に対応します。

サービスフロー

1事前準備:1.キックオフ(KCCS / お客様) 2.ヒアリングシートの記入(お客様) 3.診断環境準備※1(お客様) 4.サーバ管理者や業者への事前連絡(お客様) ※1必要に応じバックアップ・FWなどの設定をお願いいたします。セキュリティ製品(FWやID/IPS)によっては診断を阻害する機能を有している場合がありますので、一部解除をお願いいたします。 2 1.診断(ネットワーク脆弱性診断[リモート診断]、ペネトレーションテスト共通)の場合:1.診断開始連絡(窓口ご担当者様へメールにてご連絡)(KCCS) 2.診断実施※2(KCCS) 3.診断終了連絡※3(KCCS) 4.レポート作成(KCCS) ※2ペネトレーションテストの場合は、情報収集と侵入調査方法検討時間をいただきます。 ※3緊急度の高い脆弱性は、都度メールにて窓口にてご担当者様へ連絡します。 2.診断(ネットワーク脆弱性診断[ローカル診断]、ペネトレーションテスト共通)の場合:1.入館準備(お客様) 2.診断機器の持ち込み設定※4(KCCS) 3.診断実施※2 (KCCS) 4.レポート作成※5(KCCS) ※4診断機器には、IPアドレスを3つ割り当てていただく必要があります。(同一セグメント内) ※5診断結果持ち出しのご許可をいただき当社環境にて報告書を作成します。

価格

「お問い合わせ・資料請求」より、お問い合わせください。

お問い合わせ・資料請求別ウィンドウで開きます

カタログダウンロード

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。