ツールや手動によりシステムの潜在的な脆弱性を洗い出し、解決方法を提案します。
こんな方にオススメ!
自社システムが脆弱性攻撃に遭ってしまった
どのように脆弱性を対策すればいいかわからない
サービス内容
システム脆弱性診断では以下の4つの診断サービスをご提供しております。
Webアプリケーション診断
Webアプリケーションで考慮すべき脅威への対策が適切に実装されているかを、手動診断と自動診断ツールを併用して診断します。
各種通信プロトコル診断(Fuzz診断)
- 独自開発ツールを使い問題を起こしそうなデータを短時間で最大500万パターン送り込み、ソフトウェアの動作状態を基に脆弱性を検出します。
- 汎用プロトコルはもちろん、独自プロトコルにも対応可能です。
プラットフォーム診断
- サーバー、ネットワーク機器に対して脆弱性スキャナーを用いた診断を実施し、パッチの未適用・不必要なポート開放・サービスの設定不備などを検出します。
- 脆弱性スキャナーにより検出された脆弱性に対する攻撃可能性について実証検証を行います。
モバイルアプリ脆弱性診断
モバイルアプリケーションの脆弱性診断(セキュリティ診断)を行います。
※詳細はモバイルアプリ脆弱性診断参照
診断基準
- Webセキュリティの研究を行っている非営利組織OWASPが発行しているOWASP ASVS※のレベル1およびレベル2に準拠
- IPA「ウェブ健康診断仕様」に準拠
- ※ Application Security Verification Standard:
アプリケーションセキュリティ検証標準
診断結果報告
- 診断完了後5営業日を目安に診断結果を報告
- 検出した脆弱性の影響度をCVSS※に基づき定量的に表し、影響範囲と推奨事項を提示
- ※ Common Vulnerability Scoring System:
脆弱性に対するオープンな評価手法
「攻撃の難易度」×「攻撃による影響」の2軸で評価し、深刻度の指標は0~10の数値で表す
検出事例
- 認証機能においてWebページの改ざんが可能な脆弱性を検出
- 不正な値の入力によりバッファオーバーフローやDoS攻撃が可能な脆弱性を検出
CISSP認定資格者監修の下に検証業務を実施
ISC2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格。
「情報セキュリティサービス基準」への適合について
キヤノンイメージングシステムズの「脆弱性診断サービス」は、経済産業省の「情報セキュリティサービス基準」に適合し、情報セキュリティサービス基準審査登録委員会の「情報セキュリティサービス台帳」に登録されています。
Before
脆弱性攻撃への対策ができていない
弱性の診断方法が分からない
