管理の行き届いていないサーバーやサイトのサイバーリスクは把握できていますか?
近年のサイバー攻撃として、サプライチェーン攻撃による被害が発生しています。
攻撃対象となる企業だけでなく、子会社・海外拠点・取引先を含めた中で、セキュリティレベルの低いポイントに対して攻撃を仕掛け、目的とする情報にたどり着く手法です。
また、その際の侵入経路として現在は使用されておらず管理が行き届いていない脆弱なサーバーやサイトが狙われ、悪用されることがあります。
そのため、自社のみならずサプライチェーンを踏まえたグループ企業や海外拠点でのセキュリティ対策状況の把握と、セキュリティレべルの底上げが必要となっています。
サイバー攻撃における目的を達成するまでの一連の行動をフェーズごとにあらわした「サイバーキルチェーン」において、攻撃者はまず「偵察」を行い攻撃対象の調査を行うことから始めます。
企業がサイバー攻撃に対して、実施する対策として「防御」や「監視」も必要ですが、まず自社や自社グループが攻撃対象にならないようにすることが重要です。
そのためには攻撃者目線で自社やグループ会社を「チェック」し、把握していないサイトやサーバーなどを洗い出した上でどのようなリスクを抱えているのかを可視化し、対策を検討していく必要があります。
サイバーリスク健康診断サービスは、攻撃者の「偵察」と同じ目線で自らを「チェック」することで、自社が抱えるサイバーリスクを可視化し、適切な対策のサポートを行うサービスです。
本サービスでは、Panorays(※)を利用することで、攻撃者の目線で素早く診断することが可能です。
そして、管理の行き届いていないサーバーやサイトの洗い出しやそのリスクレベルを効率的に可視化することができ、セキュリティ対策の優先順位を定めることができます。
また、グローバル企業など、関連会社が多数存在する企業において有効であり、網羅的な管理体制の把握やセキュリティリスクの把握が可能となります。
※ Panorays:イスラエルのPanorays社が開発した、独自のアルゴリズムでリスク評価を行うSaaS型のサイバーセキュリティリスク評価システムです。
Point1 管理者の負担軽減
人手で実施すると手間がかかってしまう「チェック」を、クラウドサービスと当社の独自ツールを駆使して実施することで、網羅的なリスクアセスメントが実現できます。
各サーバーで実施していたアセスメントを集約して実施できるため、管理者の負担が軽減されます。
Point2 想定と現実のギャップ把握
簡単な申込書の記入と選択式のWebアンケート(60問)を1時間前後で回答するだけでセキュリティリスクとセキュリティ対策が可視化され、想定と現実のギャップの把握が可能となります。
これにより、現実を把握した新たなアクションプランの策定などに活用できます。
Point3 最短2週間のアウトプット
「チェック」「診断」「社内ヒアリング」「レポート作成」といった時間がかかる作業を、お申し込みから最短2週間で報告書までご提供可能です!
急を要するセキュリティインシデント対応時において、サイバーリスクの把握を急ぎ実施することができます。
Point4 分かりやすいレポート
診断結果は、当社のセキュリティ診断のノウハウを生かした解説を追加したわかりやすいレポートに取りまとめの上でご提供します。
セキュリティ専任の担当者がいない場合でも、自社グループのサイバーリスクを把握することができます。
このサイバーリスク健康診断サービスは、以下の2つの診断で構成されています。
① サイバーリスク診断(外部診断)
攻撃者と同じ視点で「チェック」を行います。
診断対象ドメインに関連するドメイン・IPアドレスの洗い出しを行い、それらに対して網羅的に診断を実施することで、外部から見える弱点(脆弱性)の可視化を行います。
一般的な脆弱性診断では、お客さまから診断対象のドメインやIPアドレスをご提供いただいておりましたが、サイバーリスク診断では攻撃者と同じ視点で網羅的に診断を実施しますので、お客さまが管理・把握できていないサーバーも診断対象となり、関連企業や把握していないサーバーまでサイバーリスクを把握することができます。
② セキュリティアセスメント(内部診断)
Web上で選択式アンケート(約60問)にご回答いただくだけで、企業のセキュリティ対策をアセスメントし、セキュリティ対策レベルの可視化を実現します。
「①サイバーリスク診断(外部診断)」と「②セキュリティアセスメント(内部診断)」を組み合わせて実施いただくことで、サイバーリスクとセキュリティ対策レベルが判明しますので、より効果的な方針策定やアクションプランの検討が可能となります。
以下の観点で診断・評価を実施します。
分類 | 診断内容 |
---|---|
被害実態 | フィッシングサイトのホスティング、悪意のあるコンテンツのホスティング、C&Cサーバーとしてフラグ付け、不審なURL など |
DNS関連 | DNSゾーン転送、オープンDNSリゾルバ、DNSSEC設定 など |
クラウド特定 | 公開プライベートクラウドサービス、クラウド単一リージョン など |
メールサーバー関連 | SPF判別、DKIM判別、DMARC判別 など |
暗号化関連 | TLSの脆弱性、HTTPSの非サポート、信頼されていないTLS証明書、推奨されないTLSプロトコル、HTTPSリダイレクト、TLSの弱い鍵利用 など |
Web関連 | WAFの判別、Content-Security-Policyレスポンスヘッダ、Webサーバーのバージョン情報、XSSレスポンスヘッダ など |
アプリケーション関連 | SSHバージョン1のプロトコル、Webアプリケーションのオープンリダイレクト・XSS・CSRF、WordPressのユーザーデータ など |
ドメインに対する攻撃 | ドメインハイジャック、タイポスクワッティング など |
公開サービス | 公開データベース、公開OSサービス、公開コンソールサービス など |
利用ソフトウェアの脅威 | CMSの判別 、Webアプリケーションの判別、ミドルウェアの判別 など |
項目 | 評価カテゴリ |
---|---|
規程や体制・運用 | ポリシー文書の整備、機密区分の定義と運用、体制(態勢)、教育・訓練、外部委託先管理、クラウド事業者管理、チェックプロセス |
セキュリティ対策(端末系) | エンドポイント対策 |
セキュリティ対策(サーバー系) | 通信制御、監視、マルウェア対策、公開システム通信制御、公開サーバー堅牢化 |
セキュリティ対策(運用系) | ログ取得、モニタリング、レポーティング |
その他 | リモート接続、インシデント(セキュリティ事故)対応、スマートデバイス、開発プロセスのセキュリティ要件、アカウント管理、パスワード管理、特権アカウント管理 |
大項目 | 小項目 | 内容 |
---|---|---|
エグゼクティブサマリー | 総評、リスク、対策指針などをまとめます。 | |
外部評価結果 | セキュリティランク | サイバーリスク診断でのスコアを記述します。 |
指摘事項一覧 | 検出された脆弱性の一覧を記述します。 | |
指摘事項詳細 | 検出された脆弱性ごとに説明や対策を記述します。 | |
内部評価結果 | 総合評価 | セキュリティアセスメントでの総合スコアを記述します。 |
評価チャート | 評価項目ごとに基準と比較したチャートを作成します。 | |
項目別評価結果 | 評価項目ごとに評価結果やリスク、対策などを記述します。 | |
評価概要 | 診断の実施概要対象一覧を記述します。 |
本サービスの流れは以下の通りです。
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。