>
>セキュリティ診断・ペネトレーションテスト
Webサイトやシステム、アプリケーション、ネットワーク等に対するセキュリティ診断を支援
脆弱性を洗い出す脆弱性診断(セキュリティ診断)から、サイバー攻撃にどれくらい耐えられるかのペネトレーションテスト、セキュリティ改善の実施はWebシステムによって業務やサービスの提供を行う企業において非常に重要です。マイクロウェーブでは個々のシステムに合わせたセキュリティ改善の施策を支援します。
企業を脅かすセキュリティの脆弱性
ひとたび情報漏洩がおこれば、損害賠償金の発生など経営的被害も大きく 企業では利益向上を目指す攻めの戦略とともに、社会的信用や資産を維持する 守りの戦略である「セキュリティ対策」は必須であるといえます。
脆弱性が放置された場合に懸念されるセキュリティ上の問題点
-
データベースの攻撃
SQLインジェクションと呼ばれるデータベースの脆弱性をついた攻撃方法などで顧客情報や従業員情報、学生情報などデータベースの個人情報やログイン情報が流出し、不正ログイン、インターネットバンキング、クレジットカード情報の不正利用などの被害にあう可能性が高くなります。
-
Webサイト改ざん
Webサイトの脆弱性を放置すると、入力フォームなどに不正なプログラムを埋め込み、入力内容を本来とは違う場所に送信させてしまうといった、クロスサイトスクリプティングといった攻撃やリンクの書き換えなどを行い、本来とは違うページに誘導されて個人情報が流出する被害にあう可能性が高くなります。
-
マルウェア感染
年々巧妙化する様々な方法でマルウェア(悪意のあるソフトウェア)に感染して情報漏洩や不正操作などをされてしまう被害が発生しております。マルウェアに感染するとネットワーク上の端末にも広がる恐れがあるため、協力会社やグループ会社などにも被害が及び、大きな被害を受ける可能性が高くなります。
セキュリティ診断の手順
-
セキュリティレベルの診断
脆弱性診断用に開発された診断ツール「OWASP ZAP」などを利用し、セキュリティレベルを診断します。ネットワークやWebアプリケーションなどの対象範囲を決めて診断をし、必要レベルに達していない部分をあらいだします。 内部システム管理者の視点でセキュリティが担保されているかを診断します。
-
ペネトレーションテスト
現在のセキュリティ状態を確認したら、お使いのシステムに合わせた攻撃シナリオを作成し、WEBサイトの改ざんなど、実際に侵入が試みられた場合にシステムがどれだけ耐えられるかのテスト(ペネトレーションテスト)を実施します。 こちらは外部攻撃者の視点を想定した診断となります。
-
セキュリティ診断レポート報告と対策
調査レポートを作成し、脆弱性が発見された場合はセキュリティ対応策のご提案をいたします。 ただし、1度のセキュリティ診断ですべて完了ではありません。日々進化する脅威に対して最適なセキュリティ対策とサイト運用をご提案いたします。
ツールを使用した診断
脆弱性診断ツール(脆弱性診断)
脆弱性診断用に開発された診断ツール「OWASP ZAP」などを利用し、セキュリティレベルを診断します。ネットワークやWebアプリケーションなどの対象範囲を決めて診断をし、必要レベルに達していない部分をあらいだします。内部システム管理者の視点でセキュリティが担保されているかを診断し、SQL インジェクションやクロスサイト スクリプティングなど、最も頻繁に検出される脆弱性を明らかにします。
クラッキングツール(ペネトレーションテスト)
Webサイト改ざんなどの攻撃ができるツールです。調査対象に応じた脅威シナリオを作成し、クラッキングツールを利用して侵入が試みられた場合にどれだけシステムが耐えられるかをテストします。専任技術者(ホワイトハッカー)がツールやテクニックを駆使し、外部攻撃者の視点から疑似的に攻撃を実施することで、セキュリティの弱点をあらいだします。
シナリオと調査レポート
お客様における重要な情報(守りたいネットワーク、システム)などに対して求められる最適なテスト項目、攻撃シナリオを作成します。 ツールをなどを利用して実施した診断テストの結果をレポートでご報告します。脆弱性が発見された場合や、必要なセキュリティレベルに達していない場合には対策のご提案をいたします。 調査時点で問題が発見されなかった場合でも、定期的なセキュリティ対策をすることで、高いセキュリティを維持するお手伝いをさせていただきます。
ご相談・お問い合わせ
実績や各種サービスに関するご相談やお見積など、お気軽にお問い合わせください。
関連サービス
サービス一覧
- コンサルティング領域
- デジタルマーケティング領域
- システム開発領域
- 体制構築支援領域