セキュリティ診断サービス
サービス概要
Webアプリケーションセキュリティ診断サービス:
ファイアーウォールやIDS(Intrusion Detection System)を導入していてもWebサイト(ホームページ)は安全とは言えません。事実、ホームページの改ざんや個人情報の流出は、ファイアーウォール導入済み企業も被害に遭っています。また、WWWサーバ内のWebアプリケーションに脆弱性が含まれる場合、個人情報の漏えいや、ホームページの改ざん、データ破壊などの被害に遭うばかりか、他への攻撃を行うための踏み台(加害者)になる可能性があります。
本サービスでは、Webアプリケーションの安全性を検査・評価し、弱点を見極めた上適切な対応を施すことで、安全なWebサイト運営を支援致します。
ネットワークセキュリティ診断サービス:
不正アクセスに対する防御は、ファイアーウォールを設置するだけでは不十分であり、 セキュリティを考慮した設定が必要です。 攻撃を受けた結果、個人情報の漏えいや、ホームページの改ざん、データ破壊、他の攻撃への踏み台に利用されるなどの被害に遭い、更に計り知れないダメージを受けてしまいます。
本サービスでは、不正アクセスからシステムを守るため、ファイアーウォール、Webサーバ等のセキュリティホールの有無やファイルシステム等設定を診断して問題点を検知し、適切な対策を提案いたします。
DBセキュリティ診断サービス:
近年、攻撃手法や攻撃数は増加の一途をたどっており、インターネット外部からの不正侵入(外部からの犯行)だけでなく、内部犯行も重要視する必要があります。これまでのネットワークやOS・アプリケーションレベルだけでは、十分なセキュリティ対策とはいえません。昨今注目の高い情報漏洩に対してはデータベースレベルまでのセキュリティ対策が求められています。
本サービスでは、利用者のID・パスワード管理、未適用Patchなどに潜む脆弱点に対して、ヒアリングとツールによる診断結果を総合的に診断し、お客様 DB のセキュリティ状態を運用と設定の両面から報告いたします。
効果・特長
Webアプリケーションセキュリティ診断サービス:
Webアプリケーションの安全性を適切に把握し、発見した脆弱性に対して適切な対応を施すことにより、安全なWebサイトを運営することができ、Webサイト運営者の信頼を高めます。また、公開前のWebアプリケーションに対する診断は、公開後に脆弱性が発生した場合に比較して、対応費用を大幅に削減できます。
ネットワークセキュリティ診断サービス:
リモート・ローカルの両面からファイアーウォール、Web、DNS、メールサーバなどのセキュリティホールや、ファイルシステムなどの設定を診断、問題点の報告や対処方法の提案を行い、不正アクセスからシステムを守ります。
DBセキュリティ診断サービス:
ヒアリングとツールによる診断結果を総合的に診断し、お客様DB のセキュリティ状態を運用と設定の両面から診断の結果、問題点や脆弱性を報告書にまとめます。あわせて具体的な対処方法も記載します。
詳細
| Webアプリケーションセキュリティ診断サービス: | |
|---|---|
| 1. | ホームページ1Dayセキュリティ点検 |
| 2. | ツール診断 |
| 3. | ツール診断+専門家タッチ&トライ診断 |
| 4. | +年間保守パック |
| 5. | ソースプログラム診断 |
| ネットワークセキュリティ診断サービス: | |
| 6. | ネットワークインフラ診断 |
| 7. | サーバセキュリティ診断 |
| 8. | +定期診断パック |
| DBセキュリティ診断サービス: | |
| 9. | DBセキュリティ診断 |
| 製品販売: | |
| 10. | SecureBOX |
| 11. | AppScan |
Webアプリケーションセキュリティ診断サービス:
ホームページ1Dayセキュリティ点検
ホームページに潜む脆弱性の有無を、安価に、かつスピーディーに点検しご報告いたします。
開発・運用側に対する問診と専門家によるタッチ&トライにより脆弱性の有無を1日間で点検しご報告いたします。
ツール診断
Webアプリケーションに対してのセキュリティを診断します。
診断は、Webアプリケーション診断ツールにより実施し、診断結果と対策案をレポートにします。
診断観点:
「ツールによる診断」
- SQLインジェクション
- クロスサイトスクリプティング
- 不正なリクエストに対する脆弱性
- Webサーバ(市販製品/パッケージ製品)の設定ミス、既知の脆弱性
ツール診断+専門家タッチ&トライ診断
Webアプリケーションに対してのセキュリティを診断します。
診断は、Webアプリケーション診断ツールおよび専門家によるタッチ&トライ(手動による診断)で実施し、診断結果と対策案をレポートにします。
診断観点:
「ツールによる診断」
- SQLインジェクション
- クロスサイトスクリプティング
- 不正なリクエストに対する脆弱性
- Webサーバ(市販製品/パッケージ製品)の設定ミス、既知の脆弱性
「専門家によるタッチ&トライ診断」
- セッションのライフサイクル
- 設計、仕様に関する脆弱性
- Webアプリケーションの動作仕様に依存するSQLインジェクション(ツールで検出不可能な脆弱性)
- Webアプリケーションの動作仕様に依存するクロスサイトスクリプティング(ツールで検出不可能な脆弱性)
+年間保守パック
Webアプリケーションの改修時やバージョンアップ時にセキュリティ診断を実施し、修正確認やバージョンアップ時の脆弱性混入を防ぎます。
ソースプログラム診断
対象言語:JavaおよびC、C++
Webアプリケーションを構成するプログラムでHTML生成に関する入出力インターフェースをソースプログラムでセキュリティエキスパートが分析検査します。(業務ロジックは診断対象外)
ネットワークセキュリティ診断サービス:
ネットワークインフラ診断
ネットワークからの侵入検査
外部ネットワークに接続されているサーバに対してのセキュリティレベルを診断分析します。ファイアーウォールの設定や不正アクセス等に対する脆弱性および対策案をレポートにします。
診断ツールは、Qualys又は、InternetScannerを使用します。
(注)
- QualysGuardは、Qualys, Inc. の登録商標です。
- Internet Scanner は、International Business Machines Corp.の米国およびその他の国々における登録商標です。
サーバセキュリティ診断
サーバのセキュリティ強度検査
ネットワーク内部に接続されている各サーバに対して、不要なサービスの調査、サードパーティー製品の既知の脆弱性などのネットワーク経由ではわからない脆弱性を分析し対策案をレポートにします。
診断ツールは、Assuria Auditorを使用します。
(注) Assuria Auditorは、Assuria Limitedの登録商標です。
+定期診断パック
定期的にネットワークインフラ診断を実施する定期診断パックです。
DBセキュリティ診断サービス:
DBセキュリティ診断
DBセキュリティ強度検査
DBサーバ内のデータベースに対して、利用者のID・パスワード管理、未適用Patchなどに潜む脆弱点に対して、ヒアリングとツールによる診断結果を総合的に診断し、お客様 DB のセキュリティ状態を運用と設定の両面から報告いたします。 診断ツールは、AppDetectiveを使用します。
DBセキュリティ診断サービスは富士通北陸システムズと富士通九州システムズとの連携により提供しております。
(注)AppDetectiveは、APPLICATION SECURITY, Inc.の登録商標です。
製品販売:
- SecureBOX(PC内のデータを暗号化するソフトウェア)
- AppScan(QA Edition Webアプリ診断ツール)
(注)AppScanは、International Business Machines Corp.の米国およびその他の国々における登録商標です。
お問い合わせ
価格等の詳細は以下にお問い合わせ下さい。
情報セキュリティサービス部 セキュリティ統合ソリューション担当
電話: 076-241-9984
Fax: 076-244-9974
ホームページ: http://jp.fujitsu.com/fjh/services/solution/fisec/
E-mail:fjh-security@cs.jp.fujitsu.com