SERVICES情報セキュリティサービス

脆弱性診断サービス

サービスの概要

攻撃者の観点で診断対象の振る舞いや状態を確認・分析することで潜在的な脆弱性を検出し、対策のアドバイスを行います。

サービスの概要

サービスの特徴

特徴1:専門家による高品質な診断
JRの大規模オンラインシステムの高度安定稼働を支えるセキュリティ専門家が詳細な部分まで診断を行うため、潜在的な脆弱性の検出精度が高く、診断結果をわかりやすくまとめます。
特徴2:手動診断の併用
一般的な診断事業者が用いる自動診断ツールによる診断だけでなく、手動診断を併用することで自動診断による誤検知を排除するとともに、自動診断ツールでは検出できない脆弱性も見逃しません。
特徴3:SI事業者ならではの具体的なアドバイス
発見した脆弱性に対し具体的な対策を提示することはもちろん、対策実施後に現場での対策の効果を確認する方法等、SI事業者ならではのアドバイスも行います。


メニュー別の主な診断項目

  • Webアプリケーション診断
  • ネットワーク診断
  • [ユーザ認証関連]

    ・認証処理の有無、認証情報の妥当性や管理方法を確認

    ・認証失敗時の挙動を確認

  • [認可制御関連]

    ・不正な操作や情報漏洩の要因となる認可処理の有無/認可方法や適用範囲の確認

  • [セッション関連]

    ・なりすまし、リクエスト強要等の要因となるセッションやCookieの管理方法等を確認

  • [入力/出力関連]

    ・DB不正操作等の要因となる入力チェック等の確認

    ・不要な情報出力

  • [サイトデザイン関連]

    ・設計/仕様上の問題点

    ・ビジネスロジックの不備

    ・不正なパラメータ操作等

  • [Webサーバ/フレームワーク関連]

    ・製品/ソフトウェアの設定の確認

    ・公開コンテンツの設定の確認

  • [公開サービス調査]

    ・インターネットに公開する必要のないサービスの調査

  • [公開情報収集]

    ・OSバージョン、ソフトウェアバージョン等、内在する脆弱性の漏洩につながる情報を収集

  • [暗号関連]

    ・SSL/TLSで使用する暗号設定を調査

  • [メールサーバ関連]

    ・第3者中継の可否やSMTPコマンドの実行可否等、設定の不備などを確認

  • [DNSサーバ関連]

    ・再帰的問合せやゾーン転送等、設定の不備などを確認

  • [Webサーバ関連]

    ・情報漏洩等につながる設定の不備などを確認

料金

個別のお見積りとなります。






情報セキュリティ対策支援サービス

サービスの概要

絶えず変化している情報セキュリティリスクに対応するには、お客様の目的に合致した必要な対策とその優先付けを継続して行うことが重要となります。
長年情報セキュリティ対策に携わってきた当社が、お客様の目的に合った情報セキュリティ対策方針を策定します。

基本的なサービスの流れ

ステップ 概要
1 現状把握 お客様の複数部門をインタビュー等により横断的に調査し、情報セキュリティ対策の現状を把握します。
2 課題の洗い出し 把握した内容や想定される脅威等から課題を洗い出し、組織や人、技術、物理、運用の観点で分類・整理します。
3 リスクの評価 課題をISMS等のフレームワークや経験により蓄積されたノウハウをもとに分析し、リスクを数値化します。
4 対策方針の策定 課題の解決やリスクを軽減するための対策方針を検討します。検討にあたっては、ISO27001等の要求事項を網羅します。
5 ロードマップ 対策方針の具体的な実現案を策定し、優先順位が高いと判断された対策から実施するロードマップを策定します。


料金

個別のお見積りとなります。

この商品について・JRシステムに関するお問い合わせはこちらから