ペネトレーションテスト

ウェブアプリケーション、ネットワーク(Wi-Fiを含む)、スマート端末のサーバーまで、お客様のITネットワークシステムの脆弱性を検知し、サイバー攻撃から守る総合的なペネトレーションテストを提供します。

弊社のネットワークセキュリティ専門スタッフは、お客様のITシステムの特徴を詳細まで把握した上で、攻撃者の視点で実施計画を立て、一番効果的かつ効率的な手法でペネトレーションテストを実施します。

セキュリティ上の規制・ガイドラインに準拠

弊社のセキュリティサービスは、政府のセキュリティガイドラインに準拠しており、監査に対応可能です。


ウェブアプリケーションアセスメントの主な評価項目

 ペネトレーションテスト項目

1.  クロスサイトスクリプティングのセキュリティ対策

スクリプトの挿入の可否を確認します。可能であると判明した場合、悪意のあるスクリプトがウェブサーバーに侵入できることを示します。そうしたスクリプトが侵入すると、スクリプトがクライアントのウェブブラウザで実行されます。そして、攻撃者はクライアントのクッキー情報を盗み、攻撃者が他人になりすましてログインするリスクがあることがわかります。

2. SQLインジェクション

データベースが違法に操作される可能性を調べるため、SQLコマンドの使用可否を確認します。もしデータベースにSQLインジェクションが可能な場合、保存されたプロセスへの認証されていないアクセスと外部プログラムの違法な呼び出しが可能であることを示します。その結果、個人情報へのアクセス(情報漏洩)、変更(情報の改ざんまたは紛失)、認証されていないアクセスとサーバー上の恣意的なコマンドが行われるリスクがあることがわかります。

3. セッション管理セキュリティ

ウェブアプリケーションのセッション管理に問題がないか確認します。もしセッション管理に使用された情報が推測できる場合、認証が必要なページに認証がなくてもアクセスできる、または、他人になりすましてログインできることを示します。その結果として、個人情報へのアクセス(情報漏洩)、認証されていないアクセスで情報を変更される(情報の改ざんまたは紛失)リスクがあることがわかります。

4. 認証機能セキュリティ

認証されていないアクセスが認証プロセスをすり抜けることができるか調べます。もしすり抜けることができる場合、本来のユーザーになりすました不正ログインによってシステムに違法にアクセスできることが明らかになります。その結果、個人情報へのアクセス(情報漏洩)、認証されていないアクセスで情報を変更される(情報の改ざんまたは紛失)リスクがあることがわかります。

5. ファイル拡張子の確認

共通バックアップファイルの存在を確認し、そのデータファイルがウェブアプリケーションのURLと一致するかを確認します。問題が見つかった場合、ハッキングの標的になった時にウェブアプリケーションに保管されているユーザーの個人情報を含む重要な情報が、認証されていないアクセスで盗まれる可能性があることを示します。

6. OSコマンドインジェクションに対するセキュリティ

メタ文字の注入またはSSIを使って恣意的なOSコマンドを実行することができるか調べます。もし可能とわかった場合、ウェブサーバーのOSがコントロールされていることを示し、攻撃を受けた際に、ウェブサーバーのパスワードファイルの盗難や管理者権限の悪用につながる可能性があることを示します。


プラットフォームアセスメントの主な評価項目

カテゴリー:

1 バックドア型ウイルス、トロイの木馬

2 ブルートフォースアタック

3 CGI
(コモンゲートウェイインターフェイス)

4 DNS
(ドメインネームシステム)

5 データベース

6 ファイル転送プロトコル
(FTP)

7 フィンガー

8 一般的な遠隔サービス

9 ネットワーク・アプライアンス

10 情報集約

11 ローカルコンピュータ

12 メール

13 NFS
(ネットワークファイルシステム)

14 NNTP
(ネットワークニューストランスファープロトコル)

15 プロキシ

16 RPC
(リモートプロシージャコール)

17 SMB / NETBIOS

18 SNMP
(シンプルネットワークマネジメントプロトコル)

19 TCP/IP

20 ウェブ

21 ウィンドウズ