システム脆弱性診断
ツールや手動によるセキュリティ評価を行いシステムの潜在的な脆弱性を洗い出し、解決方法を提案します。
- 個人情報搾取
- 機密情報漏洩
- 不正利用
- シャットダウン
Webアプリケーション診断
- Webアプリケーションで考慮すべき脅威への対策が適切に実装されているかを診断します。
- 手動診断と最新の自動診断ツール(OWASP ZAP)を併用して新たな手法による攻撃を検出します。
各種通信プロトコル診断(Fuzz診断)
- 独自開発ツールである「プロトコルキット」を使い問題を起こしそうなデータを短時間で最大500万パターン送り込み、ソフトウェアの動作状態を基に脆弱性を検出します。
- 汎用プロトコルはもちろん、独自プロトコルにも対応可能です。
プラットフォーム診断
- サーバー、ネットワーク機器に対して脆弱性スキャナー(OpenVAS)を用いた診断を実施し、パッチの未適用・不必要なポート開放・サービスの設定不備などを検出します。
- 脆弱性スキャナーにより検出された脆弱性に対する攻撃可能性について実証検証を行います。
上流からの製品セキュリティ対策支援
製品が置かれた環境や製品の詳細な仕様を踏まえたリスク分析、対策優先度の決定など上流プロセスからの関与によりセキュリティ開発ライフサイクルを支援します。
診断基準
- OWASPアプリケーションセキュリティ検証標準のレベル1およびレベル2
- IPA「ウェブ健康診断仕様」
診断結果報告
- 診断完了後5営業日を目安に診断結果を報告
- 検出した脆弱性の影響度をCVSS※に基づき定量的に表し、影響範囲と推奨事項を提示
- ※ Common Vulnerability Scoring System:
脆弱性に対するオープンな評価手法
「攻撃の難易度」×「攻撃による影響」の2軸で評価し、深刻度の指標は0~10の数値で表す
検出事例
- 認証機能においてWebページの改ざんが可能
- 不正な値の入力によりバッファオーバーフローやDoS攻撃が可能
CISSP認定資格者監修の下に検証業務を実施
(ISC)2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格。
「情報セキュリティサービス基準」への適合について
キヤノンイメージングシステムズの「脆弱性診断サービス」は、経済産業省の「情報セキュリティサービス基準」に適合し、情報セキュリティサービス基準審査登録委員会の「情報セキュリティサービス台帳」に登録されています。
