サービス概要
最新のサイバー犯罪の傾向やその攻撃手段を反映したセキュリティ診断を実施することは、既存のセキュリティ対策の不備を把握し、様々な脅威、攻撃によって及ぼされる影響を最小限にする活動の第一歩です。インフォセックのセキュリティ診断は、システムに存在するセキュリティ上の欠陥(脆弱性)を洗い出し、発生し得る影響を提示するとともに、適切な対策案または改善提言を報告します。
サービスラインナップ
本診断は、ポートスキャンや脆弱性スキャンといった「ツール診断」により、サーバやネットワーク機器をはじめとしたシステムに対して、効率的に稼動サービスや既知の脆弱性を洗い出します。加えて、「マニュアル診断」により、ツール診断により検出された問題の妥当性確認やツールでは検出できないような問題を専門家が手動で検査し、対策案を提示します。
プログラマが書き下ろしたソースコードは、システム要件を満足させたとしても、セキュリティ上の脆弱性が潜在的に埋め込まれていることがあります。開発段階で脆弱性を作り込まないよう、専門家によるレビューを行いリリース前の修正をサポートします。リリース後に問題を検出するよりも、改修の手戻りも少なくなり、費用低減にもつながります。
本診断は、「ツール診断」にて効率的に問題を洗い出すとともに、「マニュアル診断」により認証をはじめとした攻撃対象となりやすい機能を持つ画面を詳細に診断します。診断実施時は、アプリケーションの挙動を確認しながら、正規ユーザの利用形態を把握します。その上で、攻撃者を想定した不正なリクエスト等によって、応答の変化等を精査し、検出された脆弱性に対する対策案を提示します。
本診断は、スマートフォン端末環境と、そのアプリケーションから通信されるWebアプリケーション環境を対象とします。スマートフォン端末環境では「マニュアル診断」、ウェブアプリケーション環境では「ツール診断」にて効率的に問題を洗い出すとともに、「マニュアル診断」により攻撃対象となりやすい機能を詳細に診断します。
導入フロー
-
事前打ち合わせ
- 試験対象範囲の設定
- 実施日の決定
- 関連部署との調整周知
-
診断実施
- 診断実施
- 診断開始、終了時には弊社より適宜連絡を行います。
-
報告書作成
- 報告書作成
- 分析作業開始
- 脆弱性リスク分析
- 推奨策の調査および記述
-
報告会実施
- 関係者を集めた報告会の開催
サービス申込み時に機密保持契約を締結します。
報告書提出から2週間、Q&A対応期間を設けています。
