外部に公開されているサーバーのセキュリティ診断を行います
業務内容
【内容】
外部に公開されているサーバーのIPアドレスごとに、攻撃者の視点から脆弱性を見つけます。
セキュリティ事故のほとんどはヒューマンエラー、うっかりミスによって引き起こされます。IPアドレス診断は、複雑な脆弱性の発見というよりは、このヒューマンエラーの発見にフォーカスします。
【診断の意義】
企業が外部に公開しているサーバーが攻撃を受ける最初のポイントです。これをアタックサーフェスと呼びます。アタックサーフェスの把握は、現在保有しているリスクの把握の第一歩となります。
外部に公開しているサーバーにはさまざまな種類があり、ホームページから会員サイト、予期せぬサービスの公開などです。攻撃とは関係のなさそうなWebサイトも一度は診断することをお勧めします。
【実際の事案】
ホームページの脆弱性は企業の内部ネットワークまでの道筋を攻撃者に提供することがあります。管理者画面が脆弱で、管理者画面にファイルサーバーの情報が残っており、攻撃者が社内の重要な情報資産のすべてを暗号化してしまった事案があります。
ベンダー用に用意していたリモートデスクトップから内部ネットワークへの侵入を許し、顧客情報の流出につながった事案があります。
ファイルサーバーが公開されており、デフォルトのユーザー名とパスワードのまま設定されていたため、機密情報がほとんど漏れているも同然だった事案があります。
一度でも診断を行うことで、上記のような重大なインシデントを回避することができます。
小規模事業者様に向けて基本的なセキュリティリスク分析をし潜在リスクを洗い出します
業務内容
「うちの情報セキュリティって大丈夫なのかな?」
大企業でも発生する情報漏洩。
発生すると自社の信頼がゆらぎ、得意先・取引先にも迷惑をかけてしまいます。
ご提供ソリューション
本パッケージ(下記「診断項目」参照)では、基本的な情報セキュリティの対策状況を診断いたします!
情報セキュリティ自社診断は、情報セキュリティ対策のレベルを数値化し、問題点を見つけます。
診断編を利用することにより、情報セキュリティ対策の現状を把握することができます。
さらに、解説編では、各チェック項目で設定されている設問についての解説があります。
この解説編を参照することで、診断編にある設問の内容を自社で対応していない場合に生じる情報セキュリティへのリスクと、今後どのような対策を設けるべきかを把握することができます。
診断項目
- 脆弱性対策について
- ウィルス対策について
- パスワード管理について
- 機器の設定について
- 情報収集について
- 電子メールのルールについて(3項目)
- 無線LANのルールについて
- Web利用のルールについて
- バックアップのルールについて
- 保管のルールについて
- 持ち出しのルールについて
- 事務所の安全管理について(4項目)
- 情報の安全な処分について
- 守秘義務の周知について
- 取引先管理について
- 従業員教育について
- 私物機器の利用について
- 外部サービスの利用について
- 事故への備えについて
- ルールの整備について
侵入テスト(ペネトレーションテスト)などの脆弱性診断を短納期で対応します
業務内容
<サービス概要>
当社は最先端の脆弱性スキャナを利用して、お客様のシステムのセキュリティを徹底的に分析し、侵入テストを実施します。これにより、潜在的なセキュリティリスクを特定し、攻撃者が利用可能な脆弱性を明らかにします。当社の専門家チームは、実際の攻撃シナリオを想定してテストを行い、お客様のシステムのセキュリティを強化するための具体的な脆弱性診断の提案を行います。
<サービス内容>
脆弱性分析: 最新の脆弱性スキャナを使用して、お客様のシステムに存在する可能性のあるセキュリティ上の問題を特定します。
侵入テストの実施: エシカルハッキングの手法を用いて、実際の攻撃を模倣し、システムの脆弱性をテストします。
レポートの作成: テスト結果を詳細に分析し、脆弱性の特定、利用された攻撃方法、および対策についての包括的なレポートを提供します。
改善提案: レポートに基づいて、システムのセキュリティを向上させるための具体的な提案を行います。
<対象クライアント>
中小企業から大企業まで、あらゆる規模のビジネス。
システムやネットワークのセキュリティが重要な役割を果たす組織。
定期的なセキュリティチェックが必要な企業。
<サービスの利点>
最新技術を使用した徹底的なセキュリティチェック。
実際の攻撃シナリオに基づく侵入テスト。
明確で実用的な改善提案。
システムのセキュリティ強化とリスク軽減。
万が一の際に備えて・・・Webアプリケーションのメンテナンスや安全性の評価を行います
業務内容
【課題】近年、我々が普段から運用保守に使用している共有サーバーに加えてセルフマネージド型サーバーを検討される企業様も増えています。只、その一方で「セキュリティ対策が本当にできているのかわからない」「万が一の時に不安」
と思われている人も多いのではないでしょうか。
【目的】不安定な稼働サーバーのフォローアップ
【このようなお悩みはありませんでしょうか?】
- 過去に構築をお願いしたエンジニアに連絡がつかなくなった
- サイト開設から運用まで十分な知識も無いまま何となく管理していたら、最近売り上げや訪問者が減ってしまった
- 契約プランを変えればどれくらいのパフォーマンス向上が可能か気になっている
- スナップショットの使い方がわからない、OSのバージョンアップがわからないなど、レベル感的についていけず困っている
- 海外に移住した前任者が国内のサーバーにアクセスできなくなったので、引き継いでくれる人を探している
【基本的な作業】
- 仮想デスクトップへのリモートアクセス(例.Citrix Workspace)
PowerShell
やTeraterm
によるコマンドの実行(リポジトリの更新やアップデート、不要なデータの削除等)- ログファイルの分析
.conf
のパラメータ追加や無効化- サーバコントロールパネルによる設定変更
※サービス内容については随時更新していきます
- 業務
- 脆弱性評価
- 専門知識
- データ保護 リスクアセスメント
- テクノロジー
- Webアプリケーション
WordPressで構築されたサイトの脆弱性を調査します
業務内容
指定されたWEBサイト、アプリケーション、ネットワークなどへセキュリティスキャンを行い、問題が見つかった場合は対応策についてご案内します。
脆弱性スキャナにはフリーツールなどではなく、大手企業でも採用されている専門のツールを使って実施しますので精度の高いテストが可能です
継続的な脆弱性モニタリングの場合はお値段の割引があります。ご相談ください
診断経験豊富な診断士がWebアプリケーションの脆弱性診断をスポットで実施します
業務内容
認証と認可のみを絞った脆弱性診断です。
認証はログイン画面からログインのフローを対象とします。
認可はお好きな機能から1リクエスト診断します。
脆弱性診断はどこまでやるか明確ではなく、費用も高くなる傾向があります。また、ツール診断は誰でも比較的可能ですが手動診断は経験によるものがありますのでこちらはお任せください。
免責
今回はサンプル的にいくつかのリクエストに対してピンポイントの脆弱性診断になり、すべての脆弱性を網羅するものではありません。
- 業務
- 脆弱性評価
- 専門知識
- プライバシー データ保護
- テクノロジー
- Webアプリケーション
専門家レベルの脆弱性診断とペネトレーションテストサービスでございます
業務内容
▼ご提供内容
専門家レベルの脆弱性診断とペネトレーションテスト
自動化脆弱性診断ツールを使用してテストするだけでは、無責任であり、お客様のシステムにリスクをもたらす可能性があります!私は絶対にそんなことはしません!
脆弱性やセキュリティ上の問題が見つからなければ料金はかかりません
※スマホアプリ診断、loTは対象外
▼こんな方にお勧め
・個人。個人サイトのセキュリティが心配
・中小企業の経営者。自社システムのセキュリティに不安、一方、大手企業の脆弱性診断サービスは高すぎる
・大手企業の技術チーム。専門レベルの脆弱性診断と侵入テストを実施したいと考えています
▼サービスご提供のながれ
お申込み
↓
本サービスが悪意のある攻撃に利用されることを防ぐため、ウェブサイトの所有権を確認する必要
↓
ドメイン名と診断範囲をご提出お願いします
↓
料金確定
↓
診断開始
↓
専門レベルの脆弱性診断またはペネトレーションテスト報告書。報告書には、詳細な脆弱性修正方法や、将来のセキュリティに関する推奨事項も添付されます。脆弱性修正作業が必要な場合は料金もご相談させていただきます。
↓
質問対応(3回)
▼診断項目
認証系
・総当たり攻撃
・不適切な認証
・脆弱なパスワード
承認系
・証明書とセッションの推測
・不適切な承認
・不適切なセッション期限
・セッションの固定
クライアント側での攻撃
・コンテンツの詐称
・クロスサイトスクリプティング
コマンド実行
・バッファオーバーフロー
・書式文字列攻撃
・LDAPインジェクション
・OSコマンド実行
・SQLインジェクション
・SSIインジェクション
・Xpathインジェクション
情報公開 ・ディレクトリ一覧の表示
・システム情報の漏洩
・パスの乗り換え
・推測可能なリソースの位置
ロジックを狙った攻撃
・機能の悪用
・サービス拒否
・不適切な実行プロセス
機密データの漏出
・パスワード、クレジットカード、健康記録、個人情報が暗号化されていること
・強度の高い標準の暗号化アルゴリズムを使用していること
・パスワードが強い標準のアルゴリズムでハッシュ化し適切なソルト化の実施をしていること
- 業務
- 脆弱性評価
- 専門知識
- 監査 データ保護 脅威インテリジェンス
- テクノロジー
- ネットワーク OS Webアプリケーション
【セキュリティ診断】あなたのWEBサイトの脆弱性診断を最短1日で診断いたします
業務内容
▼ご提供内容
サイト規模にあわせたWebサイトでの脆弱性診断を行います。
※サーバー環境の脆弱性診断(プラットフォーム診断)やスマホアプリ診断、ゲーム診断、Iot診断などは対象外となりますので、予めご了承ください。
▼こんな方にお勧め
・個人サイトを作ったが、安全なサイトか気になる
・会社HPを外注したが、顧客情報などを安全に取り扱えているか調査したい
・Webページの安全性検査をしたいが、専門知識がなくやり方がわからない
▼サービスご提供のながれ
(お申込み)
↓
サイト状況のヒアリング・診断範囲の策定(ヒアリング時点で料金と納期をご相談します。)
↓
サイト診断
↓
簡易レポート報告(メールにて納品)
↓
質問対応(2回の質問対応)
▼料金プランやオプションについて
サイト規模を観察してから料金を相談いたします。
▼簡易レポートについて
診断した結果、検出した脆弱性についてレポートを提供いたします。
記載内容
・診断対象
・検出した脆弱性
・診断サイトの脆弱な部分の画面解説
・検出箇所
・修正案
▼診断にあたっての注意事項
WAFの導入をされている場合、診断がただしく行えないことがございます。対象IPからの通信を診断期間中に許可していただく設定が必要になることがございます。
DosやDDosなど、アプリケーションとは別にサーバー構築段階で可能性のある攻撃や脆弱性については診断対象外となります。
脆弱性診断がすべての攻撃を防げるわけではございません。網羅的で確実な診断を心がけておりますが、脆弱性診断を終えて修正するとサイバー攻撃に完璧に対応できた状態になるわけではございません。
診断にあたっては攻撃者が実際に送信するものと同じ通信が発生します。ヒアリング時点で診断にあたってサイトに実際の被害がでないように開発環境のご用意をいただく場合がございます。
▼診断項目一覧
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- セッションハイジャック
- ファイルアップロードの脆弱性
- 不正なリダイレクト
- パスワードの緩いセキュリティ
- ディレクトリトラバーサル
- メッセージによる情報漏えい
- OSコマンドインジェクション
- XML外部エンティティ(XXE)攻撃
- HTTPヘッダーインジェクション
- クリックジャッキング
- 不正アクセス制御の脆弱性
- CORS(Cross-Origin Resource Sharing)の脆弱性
- サーバサイドリクエストフォージェリ(SSRF)
- HTTPメソッドの不適切な使用
- 不正な入力データによるサービス妨害(DoS/DDoS攻撃)
- サービスの意図しない開示
- セキュリティプロトコルの不備(TLS、SSL)
- 不適切な認証/認可の実装
- ヘッダ設定の不備
今やIT関連以外の会社にも重要なWebサイトのセキュリティチェックをします。ます
業務内容
昨今ではセキュリティに対する考えは重要視されていて、会社の大事な資産情報が攻撃者によって盗まれて営業停止を迫られるなどの重大な事件も多数発生しているため、ITとは無関係と思っていた職種だからこそ如何なる攻撃も防ぐ対応する必要があります。
セキュリティに関する勉強を4年続けてきて、個人運営から一般企業まで様々なサイトで多くの重要な脆弱性を発見してきた実績があります。
貴社WordPressサイトのセキュリティを診断し、改善策をご提案します
業務内容
- 『ウェブサイトを作ったけど、セキュリティ対策ができているか不安』
- 『WordPressのダッシュボードに部外者が侵入している気がする』
- 『問い合わせフォームから外国語で迷惑メールがたくさん来る』
↑ こうしたお悩みを解決します。
↓ 以下のような内容の診断を実施します。
- WordPressダッシュボードログイン
- meta要素
- アクセス制限
- 問い合わせフォーム
- インジェクション
- コンプライアンス
- ログ
- ファイアーウォール
- FTPアクセス
一般的な企業のウェブサイトで必要なセキュリティ全てを網羅しています。