【オプションサービス】脆弱性診断サービス : ハウジングとデータセンターのインタードットネット

特徴

料金

メリット・使い方

サービスの特徴

脆弱性診断(リモートスキャンのエンジンは、McAfee社）
日次診断に加え、お客様による脆弱性診断の実行
約１万項目のセキュリティ検査を毎日実施
セキュリティ検査は３つのフェーズで実行(フェーズ1,2は、ネットワーク侵入テスト。フェーズ3はＷｅｂアプリケーションテスト)

セキュリティ証明書

安全性確認、セキュリティ証明シール表示

導入、導入後のサポート

サポートスタッフがサポート

通知およびレポート(Web形式)

緊急警告メール
脆弱性（５段階）の定義してレポート
脆弱性一覧、脆弱性の概要表示・解決方法の表示
詳細なURLと追加情報（リンク）の表示

サービス詳細

セキュリティ検査

セキュリティ検査は３つのフェーズで実行されます。

フェーズ１および２ではネットワークの構成部分を、フェーズ３ではWebアプリケーションの検査を実施します。

ネットワーク侵入テスト

フェーズ１　は情報収集フェーズで、スキャン対象デバイスの開いているポートを検出するために、全ＴＣＰポートおよび脆弱性のある　ＵＤＰポートのスキャンを実行します。お客様のファイヤーウォールやＩＤＳのブロックによりスキャンが長時間にわたる場合があります。　もし、すべてのポートを確実にスキャンすることをご希望するのであれば、ブロックされないようにハッカーセーフのスキャン元ＩＰを除外リストに登録していただく必要があります。（マスターカードのＳＤＰコンプライアンスにも同様な要求がされています。）

フェーズ２　では、それぞれ開いているポートに対して応答信号を送信し、タイプ・バージョンを含む正しいサービスが稼動しているかどうか調査します。その後、各ポートに対してサービス特有の一連のテストを開始します。ＤＮＳ、ＳＭＴＰ、ＳＳＨ、ＦＴＰ、ＨＴＴＰ、ＳＮＭＰなどの各サービスに対し、サーバーやサービスの情報、レスポンス結果との照合などにより、既知の脆弱性をテストします。

Ｗｅｂアプリケーションテスト

フェーズ３　では、Ｗｅｂアプリケーションのテストを行います。ＨＴＴＰサービスと仮想ドメインに対して、潜在的な危険性のあるモジュールの存在、構成の設定、ＣＧＩやその他のスクリプトをテストします。その後、Ｗｅｂサイト上でＦｏｒｍを探索します。
発見したＦｏｒｍを特定の方法で起動させることで、コード発覚、クロスサイトスクリプティング、ＳＱＬインジェクションなどのアプリケーションレベルの脆弱性を検査します。設定ミスやコーディングエラー脆弱性を明確にするために汎用的なテストと、各ソフトウェア向けのテストを実施します。

脆弱性（５段階）の定義

レベル５（緊急）： Root権限/管理者権限取得の危険性のある脆弱性

緊急の脆弱性により、リモートからの侵入者は、rootもしくは管理者権限を取得します。このタイプの脆弱性を悪用することにより、ハッカーはホスト全体を脆弱化させることができます。このカテゴリーには、ファイルシステム全体に対して読み取り・書き込み可能な権限をリモートハッカーに与える脆弱性や、rootもしくは管理者ユーザとしてリモートコマンドを実行可能な能力を与える脆弱性があります。バックドアやトロイの木馬の存在も、緊急の脆弱性と見なされます。
＜脆弱性による弊害例＞機密情報の閲覧可能，個人情報漏洩，価格の改ざん，セッションハイジャック，情報改ざん，サイトの情報の消去が可能

レベル４（重要）：一般ユーザ権限取得の危険性のある脆弱性

重要な脆弱性は、侵入者にリモートユーザ権限を与えますが、リモート管理者やrootユーザ権限は与えません。重要な脆弱性により、ハッカーはファイルシステムに対して部分的なアクセスが可能です。（例えば、完全な書込権限はなく、完全な読み取りアクセスのみなど。）高度な機密情報を露呈する脆弱性も、重要な脆弱性と見なされます。
＜脆弱性による弊害例＞サーバにログインされてしまう，OSやサービスの停止

レベル３（高）：その他の危険な脆弱性（バッファーオーバーフローなど）

高レベルの脆弱性により、ハッカーはセキュリティ設定を含むホスト上に保管された特定の情報にアクセス可能です。これらの脆弱性は、侵入者によるホストの悪用をもたらす可能性があります。高レベルの脆弱性の例としては、ファイルの内容の部分的な発覚、ホスト上の特定のファイルへのアクセス、ディレクトリの閲覧、フィルタリング規則とセキュリティメカニズムの発覚、DoS攻撃に対する感受性、メールリレー等許可されていないサービスの使用などがあります。
＜脆弱性による弊害例＞サーバへのファイルアップロード，迷惑メールの踏み台にされる。