セキュリティ診断/脆弱性診断ネットワーク診断について
弊社のネットワーク診断では、運用中のサーバーやネットワーク機器に対して攻撃者の視点を取り入れ、様々な疑似攻撃を試みます。
これにより、システムの脆弱性を洗い出し、評価することが可能となります。
診断の過程では、セキュリティ上の問題や未知の脆弱性を特定し、修正すべき箇所を把握します。また、定期的な診断によりセキュリティ対策の効果を評価し、より安全なネットワーク環境を構築する手助けとなります。これにより、潜在的な脅威から貴社の重要な情報や資産を守ることが可能となります。
ネットワーク診断の診断対象
ネットワーク診断では主に、サーバーやネットワーク機器に存在する脆弱性や設定の不備について調査を行います。
- サーバー
特定の用途に応じたサービスを提供する機器。 ファイルを管理するファイルサーバーなど。
顧客情報など、重要な情報が保存されている。 - ネットワーク機器
一般にルータやUTMと呼ばれる機器のこと。 PCとサーバーとの間の通信経路を制御する。
内部・外部からの不正な通信を防ぐ役割も担う。
ネットワーク診断の特長
ネットワーク診断では貴社で運用されているサーバーやネットワーク機器の健康状態を調べることが可能です。
攻撃者の視点から様々な疑似攻撃を試行し、サーバーやネットワーク機器に存在する脆弱性や設定の不備を調査いたします。
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様なOSやミドルウェア、アプリケーションの知識も備えており、各種セキュリティガイドラインにも対応可能です。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、システムのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心 して頂ける丁寧なプロジェクト進行を心がけます。
診断員を交えた診断結果報告会と適切なアフターフォロー
報告会にはプロジェクトに関わった診断員が参加し、開発者様と技術的な質問対応をすることも可能 です。また、報告会に参加される様々な立場の方に寄り添った報告 を行います。報告会後の再診断や改修方法に対するフォローも行います。
弊社が提供するネットワーク診断の強み
各業界に豊富な経験があり、各システムの特性に合わせ、脆弱性の危険度を診断員が評価しています。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
価格だけで
決めないで…
レオンなら!
- より詳細な診断テスト
-
ツールと手動の診断
一般的なツールによる脆弱性スキャンに加え、診断員が手作業で診断を実施します。
これにより、ツールのみでは対応できない脆弱性の検出や、検出された脆弱性の誤検知・過検知の判定が可能となります。また、システムの特性や各機関の最新のガイドラインなどを踏まえ、適切な脆弱性の評価を行います。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 柔軟な対応
-
急な状況の変更にも柔軟に対応
貴社の環境にあわせた柔軟な対応が可能 です。
例えば、API部分や外部配布が難しい場合は、貴社にお伺いして、オンサイトでの診断 を行えます。自社完結のエンジニア
レオンは自社のエンジニアのみで診断を行う ため、スケジュールがギリギリだったり、長期のオンサイト、急な状況の変更にも柔軟に対応します。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のネットワーク診断はこんな方におすすめです
- どこから手を付けて良いか分からない
- 前回の診断から1年以上が経過している
- セキュリティの専門知識が不足している
- ネットワークの脆弱性診断を行ったことがない
- セキュリティを保護するために、定期的な脆弱性診断を行いたい
- 自社ネットワーク環境に不安がある
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 脆弱性診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
ネットワーク診断項目
ネットワーク診断は、コンピューターネットワークの健全性やセキュリティを評価するプロセスです。ネットワーク診断にはさまざまな手法があり、問題の特定や改善策の提案に役立ちます。これらの手法を使ってネットワークの脆弱性を把握し、適切なセキュリティ対策を講じることが重要です。
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
サーバーに関する項目
セキュリティ上の問題や改善点を見つけるのに役立ちます。ポートスキャンとサービススキャンは、ネットワークの健全性を評価するための手法であり、不正アクセスのリスクを低減するための一環です。
| 項目 | 調査内容 |
|---|---|
| ポートスキャン | 診断対象ホストにおけるオープンポートを確認します。 |
| サービススキャン | 診断対象ホストにおけるサービスの動作状況やバナー情報を確認します。 |
暗号に関する項目
暗号に関する項目は、情報のセキュリティを確保するために、サービスや通信の暗号化の安全性を評価し、脆弱性を特定して改善策を提供する役割を担います。
| 項目 | 調査内容 |
|---|---|
| 暗号プロトコルの確認 | 稼働しているサービスで脆弱な暗号プロトコルが使用されていないか確認します。 |
| 暗号スイートの確認 | 稼働しているサービスで脆弱な暗号スイートが使用されていないか確認します。 |
| 暗号アルゴリズムの確認 | 稼働しているサービスで脆弱な暗号アルゴリズムが使用されていないか確認します。 |
| Webサービスにおける非暗号化通信の使用 | Webサービスで非暗号化通信が使用されていないか確認します。 |
| 不適切なサーバー証明書の使用 | 信頼されているサーバー証明書であるか確認します。 |
情報漏えいに関する項目
情報漏えいに関する項目は、機密データや個人情報の保護を目的として、システムやネットワーク内のセキュリティ強化を行い、不正アクセスやデータ漏えいのリスクを最小限に抑えるための対策を提供します。
| 項目 | 調査内容 |
|---|---|
| プライベートIPアドレスの露見 | 診断対象ホストからの応答にプライベートIPアドレスが含まれていないか確認します。 |
| エラーメッセージによる情報漏えい | エラーメッセージが返るようなリクエストを送り、エラーメッセージにサーバー内部情報等が含まれていないか確認します。 |
| 不要な情報の存在 | バックアップファイルやミドルウェアのバージョン情報など、セキュリティ上公開されることが望まれない情報の存在を確認します。 |
| 管理用ログインページの露見 | 管理用のログインページが露見していないか確認します。 |
OSやソフトウェアに関する項目
OSやソフトウェアに関する項目は、システムの安定性とセキュリティを確保するため、最新のアップデートやパッチの適用状況を評価し、古いバージョンや脆弱性のあるコンポーネントの特定・改善を行う役割を担います。
| 項目 | 調査内容 |
|---|---|
| 不要なアカウントの存在 | 匿名ユーザーなど不要なアカウントが存在しないか確認します。 |
| サポート状況の確認 | サポートが終了しているソフトウェアを使用していないか確認します。 |
| 既知の脆弱性の有無の確認 | 稼働しているソフトウェアのバージョン情報から該当する既知の脆弱性を確認します。 |
| DNSゾーン転送の可否 | DNSゾーン転送を不特定のホストに許可しているか確認します。 |
| DNS再帰的問い合わせの可否 | DNS再帰的問い合わせを許可している設定か確認します。 |
| DNSダイナミックアップデートの可否 | DNSレコードをアップデート可能な設定であるか確認します。 |
| メール不正中継の可否 | メールサービスのメール中継の設定状況を確認します。 |
| その他ソフトウェアの設定不備 | 稼働しているソフトウェアにおいて設定不備がないか確認します。 |