セキュリティ診断・ペネトレーションテスト

企業を脅かすセキュリティの脆弱性

デジタル化やEC事業への参入が進み、アプリケーションやクラウド型サービスを導入する 企業が増えるにつれて、情報漏えい等のセキュリティ被害も急増しており 社会的な信用問題に関わる重大なセキュリティインシデントに繋がっています。 また、時代的変化によりテレワーク化も進む中で様々な環境でのセキュリティ対策が必須となり 次々と生み出される新たな脅威や脆弱性の問題にも随時対応しなければなりません。
ひとたび情報漏洩がおこれば、損害賠償金の発生など経営的被害も大きく 企業では利益向上を目指す攻めの戦略とともに、社会的信用や資産を維持する 守りの戦略である「セキュリティ対策」は必須であるといえます。

脆弱性が放置された場合に懸念されるセキュリティ上の問題点

• データベースの攻撃

  SQLインジェクションと呼ばれるデータベースの脆弱性をついた攻撃方法などで顧客情報や従業員情報、学生情報などデータベースの個人情報やログイン情報が流出し、不正ログイン、インターネットバンキング、クレジットカード情報の不正利用などの被害にあう可能性が高くなります。

• Webサイト改ざん

  Webサイトの脆弱性を放置すると、入力フォームなどに不正なプログラムを埋め込み、入力内容を本来とは違う場所に送信させてしまうといった、クロスサイトスクリプティングといった攻撃やリンクの書き換えなどを行い、本来とは違うページに誘導されて個人情報が流出する被害にあう可能性が高くなります。

• マルウェア感染

  年々巧妙化する様々な方法でマルウェア（悪意のあるソフトウェア）に感染して情報漏洩や不正操作などをされてしまう被害が発生しております。マルウェアに感染するとネットワーク上の端末にも広がる恐れがあるため、協力会社やグループ会社などにも被害が及び、大きな被害を受ける可能性が高くなります。

セキュリティ診断の手順

1. セキュリティレベルの診断

   脆弱性診断用に開発された診断ツール「OWASP ZAP」などを利用し、セキュリティレベルを診断します。ネットワークやWebアプリケーションなどの対象範囲を決めて診断をし、必要レベルに達していない部分をあらいだします。 内部システム管理者の視点でセキュリティが担保されているかを診断します。

2. ペネトレーションテスト

   現在のセキュリティ状態を確認したら、お使いのシステムに合わせた攻撃シナリオを作成し、WEBサイトの改ざんなど、実際に侵入が試みられた場合にシステムがどれだけ耐えられるかのテスト（ペネトレーションテスト）を実施します。 こちらは外部攻撃者の視点を想定した診断となります。

3. セキュリティ診断レポート報告と対策

   調査レポートを作成し、脆弱性が発見された場合はセキュリティ対応策のご提案をいたします。 ただし、1度のセキュリティ診断ですべて完了ではありません。日々進化する脅威に対して最適なセキュリティ対策とサイト運用をご提案いたします。

ツールを使用した診断

脆弱性診断ツール（脆弱性診断）

脆弱性診断用に開発された診断ツール「OWASP ZAP」などを利用し、セキュリティレベルを診断します。ネットワークやWebアプリケーションなどの対象範囲を決めて診断をし、必要レベルに達していない部分をあらいだします。内部システム管理者の視点でセキュリティが担保されているかを診断し、SQL インジェクションやクロスサイト スクリプティングなど、最も頻繁に検出される脆弱性を明らかにします。

シナリオと調査レポート

お客様における重要な情報（守りたいネットワーク、システム）などに対して求められる最適なテスト項目、攻撃シナリオを作成します。 ツールをなどを利用して実施した診断テストの結果をレポートでご報告します。脆弱性が発見された場合や、必要なセキュリティレベルに達していない場合には対策のご提案をいたします。 調査時点で問題が発見されなかった場合でも、定期的なセキュリティ対策をすることで、高いセキュリティを維持するお手伝いをさせていただきます。