ネットワーク上に存在するサーバやルーター、FWなどのネットワーク機器は、サイバー攻撃の標的となる可能性があります。プラットフォーム脆弱性診断は、これらの機器に対して外部からの攻撃に繋がる脆弱性を調査し、システム全体のセキュリティ状況を把握するためのサービスです。
Webアプリケーション脆弱性診断と合わせて実施することで、お客様の大切なシステムを多角的に守り、情報漏洩などのリスクを大幅に低減することができます。
PICK UP
クラウド環境であっても、
情報漏洩や不正アクセスなどの
リスクは存在します。
自社の情報がクラウド上に保存されるため、適切な設定がないと情報漏洩につながる可能性があります。
クラウドサービスによっては、OSやミドルウェアの管理は自社で行う必要があります。適切な管理を行わないと、脆弱性が悪用される可能性があります。
不必要なサービスポートは攻撃の対象となるため、閉じる必要があります。
自社でサーバやネットワーク機器などを保有しインフラを構築しているオンプレミス環境だけでなく、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure(Azure)などのクラウド環境にも対応しています。
クラウド事業者との契約状況によっては、診断が困難な場合もあります。
インターネット経由のリモート診断(クラウドはこちら)と、社内ネットワーク上でのオンサイト診断の両方に対応。対象のサーバに対し、フルポートでポートスキャンを実施します。
早急に改修が必要と判断された高リスク脆弱性については、診断期間中に速報という形で報告いたします。
初回診断の報告書ご提出日から3カ月以内にお申し出いただいた場合、検出された脆弱性に対して無償で再診断を実施いたします。
日々新しい脆弱性が発見されるため、年1回以上の定期的、
システムのリリース前の診断がおすすめ!
システムのライフサイクルに応じて
セキュリティリスクを
可視化することを推奨します。
ミドルウェアやOSが提供するネットワークサービスの設定や設計、使用バージョンなどを、実際にスキャンやアクセスを行い詳細に調査します。
具体的には以下の項目をチェックします。
不適切な設定は、不正侵入や情報漏洩などのリスクを高めます。
古いバージョンには脆弱性が存在する可能性があります。
適用されていないパッチは、脆弱性を悪用される可能性があります。
不必要なサービスは攻撃の標的となる可能性があります。
社内で使用しているOS: Windows、MacOS
社内サーバで使用しているOS: Windows Server OS、Linux
Webサーバ: Apache、Nginx、IISなど
DNSサーバ: BIND、PowerDNSなど
メールサーバ: Postfix、Exim、Sendmailなど
ディレクトリサーバ: Active Directory、OpenLDAPなど
データベースサーバ: MySQL、PostgreSQL、Oracle Databaseなど
ストレージサーバ: NAS、SANなど
アプリケーションサーバ: Java EE、.NET Frameworkなど
ルータ: Cisco、Juniper、Huaweiなど
ファイアウォール: Cisco、Palo Alto Networks、Fortinetなど
VPN装置: Cisco、SonicWall、Fortinetなど
ロードバランサー: F5、Arista、Ciscoなど
WAF (Web Application Firewall)
IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)
AWS、GCP、Azureをはじめとする代表的なクラウド環境にも対応しております。
プラットフォーム脆弱性診断では、主に下記の項目について診断を行っています。
| ポートスキャン | TCP全ポートに対するポートスキャンにより、ホストの応答を確認する。 |
|---|---|
| 実行中のサービスの検出 | バナー情報などからソフトウェアバージョンの検知する。 バージョンに存在する脆弱性を調査する。 |
| DNSに関する調査 | 再帰問い合わせの可否を確認する。 DNSゾーン転送の可否を確認する。 |
|---|---|
| メールサーバに関する調査 | メールサーバでの第三者中継の可否を確認する。 VRFYコマンド、EXPNコマンドの可否を確認する。 |
| FTPに関する調査 | anonymousユーザの許可・権限を確認する。 |
| Windowsネットワークサービスに関する調査 | インターネット経由でのアクセス可否を確認する。 システム・ユーザ情報の取得可否を確認する。 Nullセッション接続の可否を確認する。 |
| SNMPに関する調査 | SNMPによるシステム情報の取得可否を確認する。 デフォルトコミュニティ名(public,private)による接続可否を確認する。 |
| SSHサーバに関する調査 | パスワード認証が許可されていないか確認する。 |
| データベースサーバに関する調査 | インターネット経由でのアクセス可否を確認する。 |
| 各種ネットワーク機器の既知の脆弱性 | 機器が特定できた場合、既知の脆弱性を確認する。 |
|---|
| Webサーバの脆弱性 | サポートするHTTPメソッドを確認する。 |
|---|
| Windowsの既知の脆弱性 | バージョン・得られたシステム情報より、未適用パッチを特定する。 |
|---|---|
| その他各種OSの既知の脆弱性 | バージョン情報より既知の脆弱性を特定する。 |
| バックドアの調査 | バックドアの可能性が高い、非標準ポートで動作しているサービスを確認する。 |
|---|---|
| P2Pソフトウェアの調査 | P2Pソフトウェアが動作していないか確認する。 |
IFTの料金形態はお客様ごとの
個別お見積もりとなります。
ネットワーク構成によって料金に変動が
ございますので、まずはお問い合わせ
フォームよりご連絡ください。
| 基本料金 |
200,000円(税込) 上記は1IP分を含む料金となっております。 |
|---|---|
| 追加料金 | 1.8万円/IP |
| 依頼内容 |
各種サーバ、ネットワーク機器のシステム内部への脆弱性診断 |
|---|---|
| 診断数・費用 | 診断規模:30IP 722,000円(税抜) |
| 依頼内容 |
Webサーバに対するAWS環境への脆弱性診断 |
|---|---|
| 診断数・費用 | 診断規模:1IP 200,000円(税抜) |
上記のプランに加えてオプションサービスもご用意しています。
複数オプションの組み合わせも可能で、ご予算・ご要望に合わせたプランを組み立てることができます。
いずれもお見積り時にご案内・ご提案いたしますので、お気軽にお問い合わせください。
| サービス概要 |
検出された脆弱性について、報告書のご提出だけではなく、対面またはWeb会議にてご説明させていただくサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回 |
| サービス概要 |
初回診断の報告書ご提出日から3カ月以内のお申出に限り、検出された脆弱性に対して再診断を実施するサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回 |
診断期間終了後、5営業日を目安に、緊急・高・中・低の検出された脆弱性をまとめた報告書を納品物としてご提出いたします。オプションサービスを利用することによって、お客様に直接ご説明させていただく「報告会」も実施しております。報告書サンプルは下記よりご確認ください。
以下の情報が必要です。
診断のご案内までの日数は、お客様のご予約状況や社内稟議決裁の状況によって変動いたします。
通常は1週間~2週間程度でご案内可能です。
診断対象のサーバに付与されているIPアドレスの数です。 ネットワーク機器も含めて診断を実施したい場合は、サーバ・ネットワーク機器の合計IPアドレス数をご教示ください。冗長化等で複数台同一構成となっている場合は、代表的な部分のみの診断も可能です。
はい。可能です。
その場合は、お客様のシステム環境へお伺いして診断を実施させていただきます。