Solution

今、どうなっているの?このシステム公開して大丈夫?

IUK 脆弱性診断サービス

資料のダウンロードはこちら

025_weakness.pdf (2.3MB)
システムの健全性・システムの見える化を実施。監査対応にもご用達!

セキュリティサービス体系

脆弱性診断プログラム

IUK Security Diagnostic Program
不正アクセスやDDos攻撃などのサイバー攻撃は増加の一途をたどり、大企業から中小企業まで休みなく攻撃を受け続けている現実は脅威そのものです。
セキュリティ攻撃に対する対応は、稼働中のシステムに対するものだけではなく、新規業務システムを構築する段階から対策が必要とされています。
アイ・ユー・ケイでは、システム基盤技術支援やシステム構築の実績を踏まえ、セキュリティ専門会社とは違う価値を、アイ・ユー・ケイ脆弱性診断サービスをご提供いたします。
システムインテグレーターだからこそ、システム全体を見ることができる。
アイユーケイだからこそ、企業様の個別ニーズに合わせたサービス提供ができるセキュリティサービスメニューがあるからこそ、ニーズに合わせたサービスをご提案できる、それが アイ・ユー・ケイです。
ネットワーク、OS、Webアプリケーション、データベースにおけるさまざまなぜい弱性の有無を、診断ツールおよび専門家による手動診断で調べあげ、問題点に対する対策をご提示します
すべてのセキュリティ事件(攻撃、情報漏えい、ウイルス感染など)は、放置されたぜい弱性から発生します。
ぜい弱性に対処するためには、システムに対するセキュリティ上の問題点を把握することから始まります
  • セキュリティ診断サービス
  • お客様のニーズに合わせて、診断計画を策定
  • 手動とセキュリティ診断ツールを組み合わせて効果的にチェック
  • 実績で培われたノウハウを活かしたアドバイス
  • 定期的な診断実施により、継続的にセキュリティ対策をサポート

診断イメージ

IUK脆弱性診断プログラムメニュー

Webアプリケーション診断
Webアプリケーション診断では、Webアプリケーションに対して攻撃者の視点でアクセスを行い、Webアプリケーション特有のぜい弱性について分析します。
クロスサイト・スクリプティングやSQLインジェクションなど、Webアプリケーションに特化したぜい弱性を検出したい場合に有効な診断方法です
Webアプリケーション診断で検出可能な主な項目例
  • クロスサイトスクリプティングが実行できないか
  • SQLインジェクションが実行できないか
  • セッション管理方法が適切か
  • 機密性の高いファイルやデータへのアクセス制御は充分か
  • 暗号化が適切に行われているか
ネットワーク診断
ネットワーク診断では、診断対象に対してネットワーク越しに調査パケットを送信することで、不正侵入に利用されやすいOSやアプリケーションの設定、セキュリティホールについて分析します。
外部から確認できる脆弱性を検出したい場合に有効な診断方法です
ネットワーク診断で検出可能な主な項目例
  • 不要なサービスが起動していないか
  • 侵入されやすいアカウントやパスワードがないか
  • 搭載しているアプリケーションに既知の脆弱性がないか
  • サービス不能攻撃への対処が行われているか
  • アクセス制御が適切に行われているか
ホスト診断
ホスト診断では、診断対象上で診断ツールを実行し、サーバ内の設定値やファイルを直接調査することで、システム内部に存在するぜい弱な構成について分析します。
システムの内側から確認できる脆弱性を検出したい場合に有効な診断方法です
ホスト診断で検出可能な主な項目例
  • 重要なシステムファイルに適切なアクセス権が与えられているか
  • アカウントやパスワードが適切に管理されているか
  • システムを不正利用された痕跡はないか
  • OSやアプリケーションにパッチが適用されているか
  • 監査ログを適切に取得しているか

脆弱性診断サービスをご採用いただく局面例

システム運用開始前、Webサイト公開前の脆弱性有無の確認
本番運用開始前の採取チェック第三者チェックによる信頼性向上
セキュリティ診断ツールでは調査できない詳細な診断が必要
スペシャリストによる主導診断と診断ツール併用による総合的診断
情報セキュリティ監査、全社ICT統制の定期検査として実施
定期的な検査が必要です。システム開発ベンダー以外の会社による検査が求められています
乱立したサーバーのセキュリティレベルチェックと品質の向上対策
多くのシステムの品質チェックが行えます

診断の目的と診断内容(例)

  • ネットワーク診断では、診断対象に対してネットワーク越しに調査パケットを送信することで、不正侵入に利用されやすいOSやアプリケーションの設定、セキュリティホールについて分析します。
  • 外部から確認できるぜい弱性を検出したい場合に有効な診断方法です。
    ■検出可能な主な項目例
  • 攻撃者がシステムにしかけたバックドアがないか
  • 不要なサービスが起動していないか
  • 侵入されやすいアカウントやパスワードがないか
  • Webを使用する CGI ファイルやプログラムにぜい弱性がないか
  • サービス不能攻撃への対処が行われているか
  • ホスト診断では、診断対象上で診断ツールを実行し、サーバ内の設定値やファイルを直接調査することで、システム内部に存在するぜい弱な構成について分析します。
  • システム内部から確認できるぜい弱性を検出したい場合に有効な診断方法です。
    ■検出可能な主な項目例
  • アカウントやパスワードが適切に管理されているか
  • システムを不正利用された痕跡はないか
  • OSやアプリケーションにパッチが適用されているか
  • 監査ログを適切に取得しているか
  • 共有フォルダのアクセス権は適切か
  • Webアプリケーション診断では、Webサーバに対してネットワーク越しに調査パケットを送信することで、Webアプリケーションのぜい弱性を分析します。
  • Webアプリケーションに特化したぜい弱性を検出したい場合に有効な診断方法です。
    ■検出可能な主な項目例
  • クロスサイトスクリプティングが実行できないか
  • SQLインジェクションが実行できないか
  • 不正アクセスやなりすましによるログインが適切に制御されているか
  • 機密性の高いファイルやデータが適切に管理されているか
  • 重要情報を取り扱うページの暗号化が適切に行われているか

サービスご提供の流れ

ネットワーク診断内容

脆弱性分類 診断内容
CGI スクリプト セキュリティ脆弱性を持つCGIスクリプトが存在するかどうかを確認します
DoS ICMP フラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフラインにするなどといったサービス妨害を引き起こす、サービス妨害攻撃に対する耐性を確認します
FTPサーバ ファイル転送プロトコルに関する脆弱性を調査します
メールサーバ SMTP、IMAP、POP2、POP3やその他インターネットメールサーバの脆弱性を調査します
NetBIOS NETBIOSプロトコルの脆弱性を調査します。リモートのWindowsファイル共有内のパーミッション問題を検出します
レジストリ 脆弱性確認に利用可能なレジストリ値の存在を確認します
リモートアクセス リモートアクセスエージェントの脆弱性を調査します
RPCサービス Remote Procedure Call(RPC)サービスの脆弱性を調査します
SSHサーバ Secure Shellサーバの脆弱性を調査します
Webサーバ WWWサーバの脆弱性を調査します
バックドア ポートスキャンとプロトコル判定機能によりバックドアプログラムによって稼動するオープンポートを検出します
ユーザー 脆弱な設定が行われているユーザーを検出します
ピアツーピアー ポートスキャンや稼働プロセスの調査によりP2Pプログラムの稼働を調査します
スパイウェア ポートスキャンや稼働プロセスの調査によりスパイウェアプログラムの稼働を調査します

ホスト・サーバー診断内容

ぜい弱性分類 診断内容 OS種別
セキュリティパッチ セキュリティパッチ 最新のセキュリティパッチが適用されているかを確認します 共 通
パスワード設定 最小パスワード長 最小パスワード長がしきい値以上に設定されているかを確認します 共 通
パスワードの有効期間 パスワードの有効期間がしきい値以下に設定されているかを確認します 共 通
パスワードの変更禁止期間 パスワードの変更禁止期間がしきい値以上に設定されているかを確認します 共 通
パスワードの履歴保持数 パスワードの履歴の保存数がしきい値以上に設定されているかを確認します 共 通
パスワードが未設定のアカウント パスワードのないアカウントの検出を試みます 共 通
パスワードが推測可能なアカウント 簡単に推測できるパスワード持つアカウントの検出を試みます 共 通
パスワードを変更できないアカウント パスワードを変更できないアカウントの検出を試みます Windows
無期限のパスワードを持つアカウント 無期限パスワードを持つアカウントの検出を試みます Windows
パスワードの変更警告期間 パスワードの変更警告期間がしきい値以上に設定されているかを確認します UNIX
長期間パスワードが変更されていないアカウント 同じパスワードを使用しつづけているアカウントの検出を試みます UNIX
パスワードロックされているアカウント パスワードロックされているアカウントの検出を試みます UNIX
アカウント設定 ユーザー権利の割り当て ユーザー権利の割り当て状況を確認します Windows
管理ユーザーの変名 CGI スクリプト Windows
ゲストユーザーの変名 Guest アカウント名が変更されているかを確認します Windows
アカウントのログオン時間 ログオン時間に制限のないアカウントの検出を試みます Windows
アカウントのログオン先 ログオンできるワークステーションに制限のないアカウントの検出を試みます Windows
アカウントの有効期限 有効期限のないアカウントの検出を試みます Windows
管理ユーザー ユーザー アカウントが正しく設定されているかを確認します
(passwd ファイルの設定、ID重複の有無など)
共 通
システムに存在するアカウントの設定 無期限パスワードを持つアカウントの検出を試みます UNIX
ホームディレクトリの設定 アカウントのホームディレクトリが正しく所有されているかを確認します(所有者、パーミッションなど) UNIX
特権を持つアカウント/グループ 特権を持っている可能性のあるアカウント/グループを検出します UNIX
ログインシェルの設定 ログインシェルが正しく設定されているかを確認します(所有者、パーミッション、shellsファイル登録など) UNIX
ログイン設定 アカウントロック アカウントのロックアウトは有効に設定されているかを確認します Windows
アカウントロックの回数 ロックアウト回数が適切に設定されているかを確認します Windows
アカウントロックの期間 ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します Windows
アカウントロックのリセット ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します Windows
休止アカウント 休止アカウント(X日以上ログインされていないアカウント)の検出を試みます 共 通
ログオン前のメッセージ ログオン前のユーザーへのメッセージ通知設定を確認します Windows
前回ログオンしたアカウント名 ログオン ダイアログ ボックスでユーザー名を表示しない設定になっているかを確認します Windows
ログオンダイアログボックスからのシャットダウン ログオン ダイアログ ボックスでシャットダウンできない設定になっているかを確認します Windows
ログオン時間 ログオン時間をオーバーしたユーザーは強制切断される設定になっているかを確認します Windows
管理ユーザーのリモートログイン rootアカウントでのリモートログインが制限されているかを確認します UNIX
ネットワーク設定 ドメインの信頼関係 共有ディレクトリの検出を試みます Windows
共有ディレクトリの存在 Administrator アカウント名が変更されているかを確認します Windows
フルコントロール可能な共有ディレクトリ [Everyone]グループにフルコントロールを与えている共有ディレクトリの検出を試みます Windows
共有ディレクトリのアクセス権 共有ディレクトリに設定されているアクセス権の検出を試みます Windows
RRASサービス リモート アクセス サービス(RRAS)が無効に設定されているかを確認します Windows
起動中のサービス 明示的にオープンされているTCP/UDPポートの検出を試みます 共 通
sendmailの設定 sendmailが正しく設定されているかを確認します UNIX
FTPの設定 FTPが正しく設定されているかを確認します UNIX
FTPの無効化 TFTPが無効に設定されているかを確認します UNIX
監査設定 成功の監査 共有ディレクトリの検出を試みます Windows
失敗の監査 失敗監査ポリシーの設定を確認します Windows
セキュリティイベントログの保持 セキュリティ イベントのログのサイズがしきい値以上に設定されているかを確認します Windows
セキュリティイベントログのサイズ セキュリティ イベントのログ記録が上書き禁止に設定されているかを確認します Windows
イベントログの記録 イベントログ記録が有効に設定されているかを確認します UNIX
プロセスアカウント プロセス アカウントが有効に設定されているかを確認します UNIX
ログインログの記録 ログインログの記録が有効に設定されているかを確認します UNIX
SUコマンドの記録 SU コマンドログの記録が有効に設定されているかを確認します UNIX
スタートアップ設定 インストールされているサービス 共有ディレクトリの検出を試みます 共 通
リモートからのレジストリアクセス リモート レジストリ アクセスが禁止に設定されているかを確認します Windows
RCファイルの設定 rc スクリプト ファイルが正しく設定されているかを確認します UNIX
ディスクの空き容量 ディスクの空き容量が十分かを確認します UNIX
スタートアップファイル ユーザー スタートアップ ファイルが正しく設定されているかを確認します(パーミッション、PATH、UMASK(しきい値以上)など) UNIX
ホームディレクトリ配下のファイル、ディレクトリ ユーザー ホームディレクトリ下のファイル/ディレクトリが正しく設定されているかを確認します(所有者、パーミッション、不審なファイルの存在など) UNIX

Webアプリケーション診断内容

脆弱性分類 診断内容
サーバ設定 製品の設定ミス 不要なメソッドの存在や、不適切な設定の存在を確認します
認 証 製品の既知の脆弱性 使用しているミドルウェア製品の既知の脆弱性の存在を確認します
認証方式 脆弱な認証方式を採用していないかを確認します
パスワード強度 認証で使用しているパスワードルールが適切であるかを確認します
権限昇格 ユーザーの権限の昇格ができないかを確認します
セッション管理 セッション管理方式 脆弱なセッション管理方式を使用していないかを確認します
セッションID強度 セッションIDの強度を確認します
セッションのライフサイクル セッションIDの再利用ができないことを確認します
暗号化 通信の暗号化 重要な情報が暗号化して送信されていることを確認します
証明書 サーバ証明書の内容が適切であるかを確認します
パラメーター改竄 クロスサイトスクリプティング 重要な情報が暗号化して送信されていることを確認します
コマンドインジェクション OSコマンドを実行できないかを確認します
SQLインジェクション SQLコマンドを実行できないかを確認します
パラメーター改竄 パラメーター値を不正に改竄した値が受け付けられないかを確認します
バッファオーバーフロー パラメーター値を不正に改竄した値が受け付けられないかを確認します
強制ブラウジング 公開されていない重要データに直接アクセスできないことを確認します
ディレクトリトラバーサル 相対パスを使用してディレクトリ移動できないことを確認します
Hiddenフィールドの改竄 Hiddenフィールドの受け渡しに起因する問題がないかを確認します
エラー処理 エラー処理が適切に行われ、過剰な情報をエラーメッセージに含めていないかを確認します
その他 クロスサイトリクエストフォージェリ クロスサイトリクエストフォージェリが実行できないかを確認します
クライアントのセキュリティ クライアントのセキュリティを考慮しているかを確認します
ソース中のコメント HTMLソースファイル内に過剰な情報が含まれていないかを確認します

お問合せ

販売元 株式会社アイ・ユー・ケイ
担当部署 首都圏営業本部 首都圏営業部
E-Mail iuk_indsol@iukinc.co.jp