サイバーリスク健康診断

管理の行き届いていないサーバーやサイトのサイバーリスクは把握できていますか?

概要

近年のサイバー攻撃として、サプライチェーン攻撃による被害が発生しています。
攻撃対象となる企業だけでなく、子会社・海外拠点・取引先を含めた中で、セキュリティレベルの低いポイントに対して攻撃を仕掛け、目的とする情報にたどり着く手法です。
また、その際の侵入経路として現在は使用されておらず管理が行き届いていない脆弱なサーバーやサイトが狙われ、悪用されることがあります。

そのため、自社のみならずサプライチェーンを踏まえたグループ企業や海外拠点でのセキュリティ対策状況の把握と、セキュリティレべルの底上げが必要となっています。

サイバー攻撃における目的を達成するまでの一連の行動をフェーズごとにあらわした「サイバーキルチェーン」において、攻撃者はまず「偵察」を行い攻撃対象の調査を行うことから始めます。

企業がサイバー攻撃に対して、実施する対策として「防御」や「監視」も必要ですが、まず自社や自社グループが攻撃対象にならないようにすることが重要です。
そのためには攻撃者目線で自社やグループ会社を「チェック」し、把握していないサイトやサーバーなどを洗い出した上でどのようなリスクを抱えているのかを可視化し、対策を検討していく必要があります。

サービス内容

サイバーリスク健康診断サービスは、攻撃者の「偵察」と同じ目線で自らを「チェック」することで、自社が抱えるサイバーリスクを可視化し、適切な対策のサポートを行うサービスです。
本サービスでは、Panorays(※)を利用することで、攻撃者の目線で素早く診断することが可能です。
そして、管理の行き届いていないサーバーやサイトの洗い出しやそのリスクレベルを効率的に可視化することができ、セキュリティ対策の優先順位を定めることができます。
また、グローバル企業など、関連会社が多数存在する企業において有効であり、網羅的な管理体制の把握やセキュリティリスクの把握が可能となります。

※ Panorays:イスラエルのPanorays社が開発した、独自のアルゴリズムでリスク評価を行うSaaS型のサイバーセキュリティリスク評価システムです。

特長

Point1 管理者の負担軽減

人手で実施すると手間がかかってしまう「チェック」を、クラウドサービスと当社の独自ツールを駆使して実施することで、網羅的なリスクアセスメントが実現できます。
各サーバーで実施していたアセスメントを集約して実施できるため、管理者の負担が軽減されます。

Point2 想定と現実のギャップ把握

簡単な申込書の記入と選択式のWebアンケート(60問)を1時間前後で回答するだけでセキュリティリスクとセキュリティ対策が可視化され、想定と現実のギャップの把握が可能となります。
これにより、現実を把握した新たなアクションプランの策定などに活用できます。

Point3 最短2週間のアウトプット

「チェック」「診断」「社内ヒアリング」「レポート作成」といった時間がかかる作業を、お申し込みから最短2週間で報告書までご提供可能です!
急を要するセキュリティインシデント対応時において、サイバーリスクの把握を急ぎ実施することができます。

Point4 分かりやすいレポート

診断結果は、当社のセキュリティ診断のノウハウを生かした解説を追加したわかりやすいレポートに取りまとめの上でご提供します。
セキュリティ専任の担当者がいない場合でも、自社グループのサイバーリスクを把握することができます。

サービス構成

このサイバーリスク健康診断サービスは、以下の2つの診断で構成されています。

① サイバーリスク診断(外部診断)

攻撃者と同じ視点で「チェック」を行います。
診断対象ドメインに関連するドメイン・IPアドレスの洗い出しを行い、それらに対して網羅的に診断を実施することで、外部から見える弱点(脆弱性)の可視化を行います。

一般的な脆弱性診断では、お客さまから診断対象のドメインやIPアドレスをご提供いただいておりましたが、サイバーリスク診断では攻撃者と同じ視点で網羅的に診断を実施しますので、お客さまが管理・把握できていないサーバーも診断対象となり、関連企業や把握していないサーバーまでサイバーリスクを把握することができます。

② セキュリティアセスメント(内部診断)

Web上で選択式アンケート(約60問)にご回答いただくだけで、企業のセキュリティ対策をアセスメントし、セキュリティ対策レベルの可視化を実現します。

「①サイバーリスク診断(外部診断)」と「②セキュリティアセスメント(内部診断)」を組み合わせて実施いただくことで、サイバーリスクとセキュリティ対策レベルが判明しますので、より効果的な方針策定やアクションプランの検討が可能となります。

診断内容

以下の観点で診断・評価を実施します。

① サイバーリスク診断(外部診断)
分類 診断内容
被害実態 フィッシングサイトのホスティング、悪意のあるコンテンツのホスティング、C&Cサーバーとしてフラグ付け、不審なURL など
DNS関連 DNSゾーン転送、オープンDNSリゾルバ、DNSSEC設定 など
クラウド特定 公開プライベートクラウドサービス、クラウド単一リージョン など
メールサーバー関連 SPF判別、DKIM判別、DMARC判別 など
暗号化関連 TLSの脆弱性、HTTPSの非サポート、信頼されていないTLS証明書、推奨されないTLSプロトコル、HTTPSリダイレクト、TLSの弱い鍵利用 など
Web関連 WAFの判別、Content-Security-Policyレスポンスヘッダ、Webサーバーのバージョン情報、XSSレスポンスヘッダ など
アプリケーション関連 SSHバージョン1のプロトコル、Webアプリケーションのオープンリダイレクト・XSS・CSRF、WordPressのユーザーデータ など
ドメインに対する攻撃 ドメインハイジャック、タイポスクワッティング など
公開サービス 公開データベース、公開OSサービス、公開コンソールサービス など
利用ソフトウェアの脅威 CMSの判別 、Webアプリケーションの判別、ミドルウェアの判別 など
② セキュリティアセスメント(内部診断)
項目 評価カテゴリ
規程や体制・運用 ポリシー文書の整備、機密区分の定義と運用、体制(態勢)、教育・訓練、外部委託先管理、クラウド事業者管理、チェックプロセス
セキュリティ対策(端末系) エンドポイント対策
セキュリティ対策(サーバー系) 通信制御、監視、マルウェア対策、公開システム通信制御、公開サーバー堅牢化
セキュリティ対策(運用系) ログ取得、モニタリング、レポーティング
その他 リモート接続、インシデント(セキュリティ事故)対応、スマートデバイス、開発プロセスのセキュリティ要件、アカウント管理、パスワード管理、特権アカウント管理

報告書イメージ

報告書の構成概要

大項目 小項目 内容
エグゼクティブサマリー 総評、リスク、対策指針などをまとめます。
外部評価結果 セキュリティランク サイバーリスク診断でのスコアを記述します。
指摘事項一覧 検出された脆弱性の一覧を記述します。
指摘事項詳細 検出された脆弱性ごとに説明や対策を記述します。
内部評価結果 総合評価 セキュリティアセスメントでの総合スコアを記述します。
評価チャート 評価項目ごとに基準と比較したチャートを作成します。
項目別評価結果 評価項目ごとに評価結果やリスク、対策などを記述します。
評価概要 診断の実施概要対象一覧を記述します。

サービスフロー

本サービスの流れは以下の通りです。

お客様の課題を解決する
最適なプランを
ご提案します。

まずはお気軽にお問い合わせください。

お問い合わせはこちら

セキュリティに関する
お問い合わせ

サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。​

ヘルプデスクサポート

0120968995

平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)

© MOTEX Inc.