【EINS/SVA+】セキュリティ診断サービス

概要

sva_01

今やセキュリティ対策は企業の社会的責任として「当たり前のもの」として求められる時代です。
ただし、セキュリティ対策それ自体は直接利益を生み出すものではなく、投資効果が見えづらいことも確かです。
つまり、企業にとってのセキュリティ対策は可能な限り最短距離(短時間、低コスト)で実施できることがベストであり、そのためには「目標」を明確にしてアクションを起こすことが必要です。
インテックのEINS/SVA+はITインフラを対象にした「ネットワークセキュリティ診断」および「サーバ設定診断」、Webアプリケーションを対象にした「Webアプリケーション診断」により、お客さまのセキュリティ対策状況を可視化することでお客さまのセキュリティ対策「目標」の設定を支援します。

利用シーン

最近、セキュリティの脆弱性を突かれた個人情報漏洩事件を目にするけど、うちは大丈夫・・?

最近、多発している「******」の脆弱性を突いた個人情報漏洩事件を契機に・・・

課題

■ トップダウンで自社サイトのセキュリティ対策状況の総点検指示が出た。
→どのように手をつけていいか分からない。
■ 自社サイトの利用ユーザーから「あなたのとこのシステムは大丈夫なんだよね?」という問合せを受けた。
→大丈夫なはずだけど、裏付けのある回答ができない。
■ これらに対して、短期間に回答・対応をしなければいけない。

EINS/SVA+の利用例

■ 「ネットワークセキュリティ診断」でOSやネットワーク機器のセキュリティ脆弱性有無を可視化します。
■ 「Webアプリケーション診断」でお客さまが個別に作られたWebサイト上のセキュリティ脆弱性有無を可視化します。

EINS/SVA+の利用効果

■ OSやネットワーク機器レベルでは現時点でセキィリティ脆弱性が「ない」ことが判明した。
■ Webアプリケーションレベルでは重大な脆弱性は発見されなかったが、いくつか対処が必要な脆弱性が発見された。
■ Webアプリケーションの脆弱性については、EINS/SVA+の診断結果報告書に記述された対策例を元に短期間で対応することができ、問題が顕在化せずクローズできた。

全社統一のセキュリティ対策ルールはあるが、本当に守られているの・・・?

情報システム部門でインターネット公開サイト作成の際のセキュリティ対策ガイドラインは策定しているが、個々のサイト作成・公開については主管部門に委ねられており、定期的なチェックはしていない・・・

課題

■ 社内セキュリティ規定が変わり、インターネット公開サイトについては情報システム部門でセキュリティ対策状況の管理・指導を行うことになった。
→定期的なチェックを行っていなかったため、現状に関する情報が手元にほとんどない。
■ 今後定期的なチェックを行い、セキュリティ対策レベルが低下しないための継続的なアクションが必要になった。
→情報システム部門のメンバーだけでは手が足りない。

EINS/SVA+の利用例

■ 「ネットワークセキュリティ診断」でOSやネットワーク機器のセキュリティ脆弱性有無を可視化します。
■ 「サーバ設定診断」でネットワーク経由では検査できないOSやミドルウェア内部のセキュリティ脆弱性有無を可視化します。
■ 「Webアプリケーション診断」でお客さまが個別に作られたWebサイト上のセキュリティ脆弱性有無を可視化します。
■ 定期セキュリティ診断についてもお客さまの要件を元にカスタマイズした検査内容をEINS/SVA+で実施します。

EINS/SVA+の利用効果

■ 一部の部門が公開しているサイトでセキュリティ対策ガイドラインが守られていない箇所が見つかった。
■ EINS/SVA+の診断結果により、今後のセキュリティ対策の優先度付けの検討時間が短縮できた。
■ 定期セキュリティ診断をEINS/SVA+で行うことで情報システム部門の負荷を減らし、少ないメンバーでも効果的にセキュリティ対策のPDCAを回すことができた。

特長

POINT1:検査精度

検査ツールで検出された結果をそのまま報告することはせず、必ず診断アナリストの手動検査による確認も行うことで、誤検知などの情報を排除し、お客さまにとって必要な検査結果のみを報告します。

POINT2:脆弱性検出率

検査ツールのみでは検出が難しいとされる検査項目について、事前ヒアリングの内容などを反映した診断アナリストによる手動検査を行うことで、お客さまシステム特有の脆弱性を検出します。

POINT3:インフラ環境を踏まえた検査・報告

セキュリティサービス専門ベンダーではなく、SIerであるインテックとしてアウトソーシングサービス等で培ったシステム構築/運用等のノウハウも駆使し、多角的な検査・分析を行います。

sva_02

主な機能

ネットワークセキュリティ診断

OS、ミドルウェア、およびネットワーク機器の脆弱性検査を行います。

検査方法

※どちらか一方のみ、あるいは両方組合せでの検査が可能です。
(1)ライト検査:インターネット経由で検査対象にアクセスして検査(リモート検査)を実施します。
(2)プロフェッショナル検査:上記(1)に加えて検査対象が設置されている現地に診断アナリストが訪問して検査対象にアクセスできるLAN上から検査(オンサイト検査)を実施します。

主な検査内容

(1)不要なサービス/プロセスの稼働確認。
(2)OS/ミドルウェア設定ファイル内にあるセキュリティ上問題となる設定がされていないかの確認。
(3)暗号化通信で強度の低い暗号アルゴリズムが使用されていないかの確認。
(4)OS/ミドルウェアに既知の脆弱性が存在しないかの確認。

サーバ設定診断

OS、ミドルウェア、およびネットワーク機器に対してネットワークセキュリティ診断では対応できないサーバ内部に存在する脆弱性検査を行います。

検査方法

検査対象が設置されている現地に診断アナリストが訪問して検査対象のOSなどを直接操作し、コマンド実行結果や設定ファイルを取得します。
また、レジストリ情報を参照し、検査に必要な情報を収集します。

主な検査内容

(1)未適用のセキュリティパッチやセキュリティパッチの適用漏れがないかの確認。
(2)不要なサービス/プロセスの稼働確認。
(3)アカウント管理が適切な状態か否かを確認。

Webアプリケーション診断

お客さまが固有で作成されたWebサイト上のアプリケーションに対する脆弱性検査を行います。

検査方法

※どちらか一方のみ、あるいは両方組合せでの検査が可能です。
(1)ライト検査:インターネット経由で検査対象にアクセスして検査ツールを主体とした検査(リモート検査)を実施します。
(2)プロフェッショナル検査:インターネット経由で検査対象にアクセスして診断アナリストによる手動検査を主体とした検査(リモート検査)を実施します。

主な検査内容

(1)Webアプリケーションを操作し、ブラウザ上から入手できるHTMLファイル内の各種パラメータ情報を収集・確認。
(2)検査ツールおよび診断アナリストによる手動検査にてパラメータを操作し、Webアプリケーションの挙動に異常がないかの確認。
(3)検査ツールが検出した全ての項目に対して診断アナリストによる手動検査を行い、誤検知を除外。

 

 

お気軽にお問い合わせください 050-5827-2807お問い合せ

トップへ戻る