- TOP
- 日立ソリューションズの強み
-
セキュリティ
コンサルティングメニューセキュリティコンサルティングメニュー組織・プロセス確立
セキュリティポリシー/ガイドライン
策定コンサルティング セキュリティ設計支援コンサルティング 取引先セキュリティ評価支援サービス サイバー攻撃対応
BCP策定コンサルティング クラウドセキュリティ
コンサルティング CSIRT構築コンサルティング ISO27001(ISMS)認証取得
コンサルティング PCI DSS対応コンサルティング セキュリティコンサルティング for Microsoft 365 サイバーレジリエンス
法対応支援コンサルティング セキュリティラベリング制度
適合支援コンサルティング IEC 62443適合支援
コンサルティング PSIRT構築コンサルティング 自動車向けISO 21434
対応コンサルティング評価・改善
- 導入事例
セキュリティ診断サービス(脆弱性診断)
セキュリティ 診断サービス (脆弱性診断)
セキュリティ診断(脆弱性診断) とは
セキュリティ診断とは、Webアプリケーションやネットワーク機器、OS・ミドルウェアなどに脆弱性がないかを疑似攻撃により調査することです。診断方法には、ツールを利用したものと専門の技術者が手動で行うものがあり、攻撃者の視点でセキュリティリスクを洗い出すことができます。ツールには、手軽に使える「フリーの簡易診断ツール」も存在しますが、こういったツールはあくまで簡易的なもので、脆弱性を見逃す可能性があります。
日立ソリューションズのセキュリティ診断サービスはホワイトハッカーが脆弱性診断を実施、お客さまにご提供。Webアプリケーションやネットワーク機器、OSやミドルウェアが外部から不正にアクセスされるような脆弱性はないか、不要な通信ポートから攻撃されるような脆弱性がないかなど、用途に応じ、さまざまな脆弱性を摘出し、結果をわかりやすくお客さまにご報告します。さらに、摘出した脆弱性に対して、対策方針のご提案も行います。
セキュリティ診断(脆弱性診断)とペネトレーションテストの違いをご紹介
「ペネトレーションテストと
セキュリティ診断 (脆弱性診断) が必要な理由
脆弱性を放置しておくと、そこからサイバー攻撃を受けるリスクが高まります。マルウェア感染や不正アクセスによって、個人情報など機密情報の漏洩が起こらないようにするためにも、脆弱性の早期発見が必要です。
しかし実際は、脆弱性を放置している企業は少なくありません。システム開発時やネットワーク機器導入時にセキュリティ診断を実施していたとしても、サイバー攻撃の手法は日々進化しており、いつ顧客情報や機密情報などを抜き取られてもおかしくない状況です。そのためセキュリティ診断は、定期的に実施することが重要です。また、情報システムはもちろん、IoT化によりネットワークへの接続が増えている制御システムにおいても、同様に外部からサイバー攻撃を受けるリスクがあるため、定期的なセキュリティ診断が必要です。
特長
- 高度なセキュリティ診断ツールなどを利用することで、新たな脆弱性にもいち早く対応し、網羅的な診断が可能です。
- 国内外のセキュリティコンテストで優秀な成績を収めるホワイトハッカーが、さまざまな手法やツールを駆使し疑似攻撃を試行することで、ツールでは発見できない脆弱性についても調査、摘出できます。
- 診断において発見された脆弱性については、報告書としてわかりやすくまとめます。脆弱性に対する対策方針も提案するため、報告内容をもとに、お客さまにて適切な対策を行えます。
当社ホワイトハッカーの主な大会での成績
- SECCON CTF 2021 世界17位(国内4位)、2022 世界23位(国内4位)
- DEF CON CTF Qualifier 2021 国内5位、2022 国内4位、2023 国内3位、2024 国内4位 など
Core NetWars 日本大会に出場したセキュリティの専門家チーム
Core NetWars 日本大会 優勝トロフィーとメダル
セキュリティの専門家チームを統括するチーフセキュリティアナリスト
サービス内容
Webアプリケーション診断
お客さまにて作成されたWebコンテンツに対し、SQLインジェクションやクロスサイトスクリプティングなどに代表されるWebアプリケーション特有の脆弱性がないかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、ホワイトハッカーによる手動診断を含めたプロフェッショナル診断の2種類があります。
診断レベル | サービス内容 |
---|---|
スタンダード |
|
プロフェッショナル |
|
ネットワーク型診断
お客さまのシステムを構成するサーバーやネットワークデバイスに対して、OSやアプリケーションに対する脆弱性が存在しないかどうかをネットワーク経由にて診断します。本サービスについてはツールによるスタンダード診断と、ホワイトハッカーによる手動診断を含めたプロフェッショナル診断の2種類があります。
診断レベル | サービス内容 |
---|---|
スタンダード |
|
プロフェッショナル |
|
クラウドセキュリティ診断
パブリッククラウド環境(AWS/Azure/
GCP)のセキュリティ対策状況を把握することが可能です。
無線LAN診断
社内に設置した無線LANアクセスポイントなどを入口として社内ネットワークに侵入される可能性がないか、無線LANの脆弱性を診断します。
ホスト型診断
お客さま先(オンサイト)にて、対象となるホスト(サーバー)に実際にログインし、OSやミドルウェアのセキュリティ設定やユーザー/パスワード管理、パッチ適用が適切に実施されているかを確認します。具体的には、対象となるホスト上に、設定情報収集ツールをコピーし、ツールを実行することで作成される結果ファイルを解析します。
診断レベル |
---|
|
個別アプリケーション診断(ファジング)
情報システムだけでなく、組み込み機器や制御システムを含めた、さまざまな個別アプリケーションの通信に存在する脆弱性を独自の診断ツールを使用して診断します。また、攻撃者がシステム侵入時に入口として利用する脆弱性の有無を診断します。
ペネトレーションテスト
従来の脆弱性を摘出するセキュリティ診断にくわえて、さらに当該脆弱性を突いて内部への侵入を試みるサービスです。
実績
製造業・情報通信業を中心に、さまざまな分野でセキュリティ診断の実績があります
作業期間
以下は最短期間です。作業期間は、Webコンテンツの遷移数やIPアドレス数により左右されます。また選択される診断レベルによっても異なります。
・Webアプリケーション診断:3週間から
・ネットワーク診断:2週間から
・ホスト型診断:2週間から
・個別アプリケーション診断:3週間から
価格
個別見積もり
紹介動画
セキュリティ診断サービスのご紹介