システム監視・システム運用のJIG-SAW OPS

脆弱性診断サービス
攻撃者の視点からシステムの脆弱性を調査
検出された問題への対応方法を提案しますSECURITY SERVICE

3つの診断サービスで、システムの脆弱性を確認します

サイバー攻撃はWebアプリやOS、ミドルウェアに潜む脆弱性を突いてサーバーへ侵入します。攻撃者によって脆弱性を突かれてしまうと、サイト改ざん、個人情報流出など、組織や企業にとって大きなダメージを負ってしまいます。
Webサーバーに潜む脆弱性の有無を確認し、必要な対策を講じることが大切です。JIG-SAWでは、脆弱性診断サービスで、お客様のサービスを守ります。

SERVICE #01Webアプリケーション診断

Webサイトの動的ページに対して診断作業を実施します。

SERVICE #02スマートフォンアプリーケーション診断

スマートフォン端末内で動作するアプリケーションに対して診断を実施します。

SERVICE #03ネットワーク診断

OS・ミドルウェアに対して診断を実施します。

Webアプリケーション診断

https、httpの通信の際にパラメータを受け渡している箇所を診断対象とします。https、httpの通信の際にパラメータを正規の値では無く、攻撃文字列などに置き換え、追加等により、出力される結果等から評価します。

Webアプリケーション診断項目

入出力処理
  • クロスサイトスクリプティング
  • SQLインジェクション
  • コマンドインジェクション
  • ディレクトリトラバーサル
  • ファイルアップロード
  • HTTPヘッダインジェクション
  • フィッシング詐欺サイトへの誘導
  • パラメータ改ざん
  • メールの第三者中継
認証
  • ログインフォームに関する調査
  • ログインエラーメッセージの調査
  • ログイン情報の送受信に関する調査
  • アカウントロック機能
  • ログアウト機能
  • 認証の回避
認可
  • 権限昇格
  • 権限のない情報へのアクセス
セッション管理
  • Cookieのsecure属性
  • Cookieの有効期限
  • セッションIDのランダム性確認
  • セッション固定
  • セッションIDの強制指定
  • クロスサイトリクエストフォージェリ
Webサーバ設定
  • 許可されているHTTPメソッド
  • サーバエラーメッセージ
  • システム情報の開示
Web2.0
  • Flashコンテンツの脆弱性
  • Ajaxコンテンツの脆弱性
一般的な脆弱性
  • 既知のソフトウェア脆弱性
  • 強制ブラウジング
  • ディレクトリリスティング

スマートフォンアプリケーション診断

スマートフォン端末内で動作するアプリケーションを実際に操作することにより、生成されたファイルや通信等に対して診断を実施します。自動送出される通信を分析し、予め決められた通信であるかの調査や生成されたファイルの設定状況の調査、他のアプリから、LogやSDカードの情報へのアクセス状況の調査、WebView機能を利用した脆弱性の調査などを実施します。

スマートフォンアプリケーション診断項目

ホストのスキャン
  • ポートスキャン
  • 実行中のサービスの検出
ネットワークサービスの脆弱性
  • DNSに関する調査
  • メールサーバに関する調査
  • FTPに関する調査
  • Windowsネットワークサービスに関する調査
  • SNMPに関する調査
  • SSHサーバに関する調査
  • データベースサーバに関する調査
Webサーバの脆弱性
  • Webサーバの脆弱性
各種OSの脆弱性
  • Windowsの既知の脆弱性
  • その他各種OSの既知の脆弱性
悪意あるソフトウェア
  • バックドアの調査
  • P2Pソフトウェアの調査
ネットワーク機器の脆弱性
  • 各種ネットワーク機器の既知の 脆弱性

ネットワーク診断

OS・ミドルウェアに対して診断作業を実施致します。インターネット経由で実施する場合はグローバルIPアドレス、オンサイトで実施する場合はプライベートIPアドレス・グローバルIPアドレスを診断対象とします。対象のIPアドレスに対して専用ツールにて診断を実施して、オープンポート、稼働しているサービスなどを確認します。

ネットワーク診断項目

通信の調査
  • 通信の暗号化、サービス以外の通信の可否
端末内データの調査(File,SQLite,XML File)
  • 重要情報の平文保存
  • データ改ざんによる不正行為
  • ログへの機密情報の出力有無の確認
  • ファイルのパーミッション確認
脆弱性の調査
  • 難読化の有無
  • 機密情報のハードコーディングの有無
  • データ共有機能・アプリ連携機能からの情報漏洩
  • 不要なパーミッションの取得
  • WebViewの脆弱性の有無
  • レスポンス改ざん
その他の調査
  • 耐タンパー性の調査

※上記サービスはサイバートラスト株式会社の脆弱性診断サービスの一例です。
実際は弊社パートナーのサービスから、お客様のご要望に合わせた最適なプランを提供させて頂きます。

上記製品・サービスは一例です。
お客様の課題に合わせて最適なご提案をいたしますので、お気軽にご相談ください。

セキュリティサービスSECURITY SERVICE

ご不明な点はお気軽に
お問い合わせください
03-6262-5160 電話受付時間:平日9:30〜18:30
お問い合わせフォーム

JIG-SAW株式会社

JIG-SAWは、IoTやクラウド基盤に最適な技術やナレッジをベースに、データコントロールの仕組みとフルマネージドサービスであらゆるサービスを安定稼働で支えます。 2015年4月に東証マザーズ上場。 現在550社数万台のサーバー運用を行っています。

お電話でのお問い合わせ
03-6262-5160
電話受付時間:平日9:30〜18:30
メールでのお問い合わせ
お問い合わせフォーム
サービス資料のご請求
資料請求フォーム
クラウドノウハウ集ダウンロード
ダウンロードフォーム