ネットワーク脆弱性診断

ネットワーク脆弱性診断

サーバー・ルーターといった機器はネットワークを介して他のノードからアクセス可能な状態にあり、常にリスクにさらされています。最新のセキュリティパッチを当てる、適切な設定を施すなどの対策を行った上で、セキュリティ要件の高いシステムを構成する機器については定期的な脆弱性診断を実施する必要があります。クレジットカード他決済サービスの運用における国際基準PCI DSSでは、定期的なネットワーク診断を要求していますが、このような必要性によるものです。
ディーゴでは実質的な国際標準であるネットワーク脆弱性診断ツールを使ってのネットワーク脆弱性診断を実施しています。またオプションで、PCI DSS基準をカバーしたPCI DSS対応ネットワーク脆弱性診断もご用意しています。
検出した個々の脆弱性はリスク範囲などをわかりやすくまとめ診断結果として報告をいたします。
また、リスクが高いと考えられる脆弱性については報告書の完成を待たずに一早くお伝えいたします。(速報)

ネットワーク脆弱性診断の特長

国際標準のツールによる診断

弊社のネットワーク脆弱性診断は、実質的なネットワーク脆弱性診断ツールの国際標準であるNesussを利用しています。常に最新の脆弱性情報が適用され、公正で正確な脆弱性診断を実施しています。

PCI DSS基準のセキュリティ診断項目にも対応

PCI DSS基準をカバーしたPCI DSS対応ネットワーク脆弱性診断もオプションにてご用意しています。

わかりやすい診断報告書

診断報告書へ記載される診断結果については、リスク範囲もわかりやすく記述しています。診断結果を受けての対応の計画などにお役立ていただけます。

ネットワーク脆弱性診断仕様

本脆弱性診断の診断仕様は以下となります。

診断項目

本脆弱性診断の診断項目は以下を基本の診断項目として実施しています。

情報収集
診断項目 診断内容
ポートスキャン TCP/UDP全ポートにおけるサービス稼働状況の把握
サービス検出 バージョン情報を含むバナーの検出
サービスフィンガープリンティング ミドルウェアおよびバージョンの推論
システムフィンガープリンティング システム種別およびバージョンの推論

プロトコルの脆弱性
診断項目 診断内容
全般 不適切な公開範囲・平文通信の使用・システム情報開示・Amplification系攻撃の成立 (ICMP/UDP) のいずれかに相当する問題の検出
FTP 不適切な権限を持つユーザの検出
SSH 安全でない暗号系・ハッシュ系・プロトコルバージョンの検出
SMTP 第三者中継やユーザ列挙の検出
DNS 一般開放あるいは汚染可能なDNSキャッシュやゾーン転送の検出
HTTP 非推奨メソッドのサポート検出
SSL/TLS 安全でないプロトコルバージョン・暗号スイート・証明書ハッシュ関数の検出、あるいは不正証明書の検出
SMB 安全でないプロトコルバージョン・認証方式などの検出
SNMP デフォルトコミュニティ名使用の検出

ミドルウェアの脆弱性
診断項目 診断内容
ミドルウェアの脆弱性 ミドルウェアにおける既知脆弱性の検出

システムの脆弱性
診断項目 診断内容
システムの脆弱性 システムにおける既知脆弱性の検出
機器の脆弱性 使用機器における既知脆弱性の検出

設定不備
診断項目 診断内容
ファイルの公開 不適切なファイル・機密情報・テスト関連情報・デバッグ関連情報などの公開検出
システム情報の開示 ホストやネットワークの内部システム情報検出
一般的な設定不備 現時点の知見に照らし合わせ推奨されない設定の検出

不適切なソフトウェアの検出
診断項目 診断内容
マルウェアの検出 マルウェアトラフィックの検出
rootkitの検出 rootkitの検出
不適切なソフトウェアの検出 不適切なソフトウェア(ファイル共有ソフトなど)の検出

認証強度評価
診断項目 診断内容
デフォルトパスワードの検出 デフォルトパスワードを用いるアカウントの検出
Joeアカウントの検出 アカウント名と同じパスワードを用いるアカウントの検出
周辺情報からの推論 システムやお客様の情報からの類推可能なパスワードを用いるアカウントの検出
パスワードクラック 出回っているパスワードリストを基に行なう辞書攻撃、あるいはブルートフォース攻撃によってパスワードを推論できるアカウントの検出 (オフラインにおける攻撃を含む)

診断ツール

本ネットワーク脆弱性診断は、以下の診断ツールを用いて行います。

  • Nessus

PCI DSS基準をカバーしたネットワーク診断(オプション)

PCI DSS基準をカバーしたネットワーク診断もオプションにて承ります。

Penetration Testing Guidance(PCI DSS)

診断実施の流れ

ご依頼から診断・結果のご報告までの流れをご案内いたします。

ご依頼

●規模・大まかなご予算などお伝えいただきご相談いただきます。

事前ヒアリング

●診断対象や条件、禁則事項やアカウント情報などを所定のヒアリングシートにご記載いただきます。
●診断対象の規模を推定するためにOS種別やネットワークロールを伺います。

お見積りご提案

●事前ヒアリングの内容からお見積りを差し上げます。

ご発注

●お見積り内容に問題がなければご発注をいただきます。
※以降キャンセルされる場合には、進行度合いに応じて費用をいただきます。

診断の詳細設計と実施計画

●診断の詳細設計と実施計画をお伝えします。
●診断開始終了のご連絡や追加情報の提供依頼等が発生いたしますので連絡先の設定をお願いいたします。

事前確認

●診断期間前に、診断対象が診断可能な状態であるか確認します(事前確認)。

診断の実施

●診断期間開始とともに診断を実施いたします。
●特にリスクが高いと考えられる脆弱性を発見した場合には、速報として全ての診断工程の終了を待たずにお知らせいたします(原則翌営業日中)

報告書の提出

●診断期間終了後、速やかに報告書の提出を行います。 ●報告書の提出をもって納品・案件終了となります。以降はアフターサポート期間となります。

報告会(オプション)

●事前・事後にお客様よりご希望いただくことにより、別途、報告会の実施が可能です。
●報告会では診断員から関係各位へ直接ご報告するだけでなく、関係各位と診断員との間で直接ディスカッションを実施できます。 これにより報告内容への理解が深まり、その後の運用や改修をより確実なものにしていただけます。

アフターサポート

お問い合わせ期間

●診断の規模にあわせたお問い合わせ期間の間、実施しました診断・診断結果報告書についてお問い合わせいただけます。