インターネットに公開されたサーバには、未知のセキュリティホールの顕在化や攻撃手法の高度化などにより、常に不正アクセスを受ける脅威が存在します。
一方、インターネットに公開していない社内システムについても、近年では「標的型攻撃」「内部犯行」による情報流出などの被害が多発しており、
セキュリティ対策の必要性が高まっています。
被害を未然に防ぐには、情報資産の現状を把握し、内在する脆弱性に対処することが重要です。
MOTEXでは、情報セキュリティの問題に対して、情報資産を“正しい姿”に保つという一貫した考えのもと、
ネットワーク脆弱性診断サービスとネットワークペネトレーションテストサービスをご提供いたします。
ぺネトレーションテスト・NW脆弱性
診断サービス 全体イメージ
リモート診断
インターネット経由で脆弱性診断を実施します。外部ネットワークからの脅威に対するリスク(ソフトウェアのセキュリティホールや設定の不備など)を調査します。
ローカル診断
イントラネット内から脆弱性診断を実施します。内部犯行など、内部からの脅威に対する潜在的なリスクを調査します。
| 大分類 | 小分類 | 項目 |
|---|---|---|
| サービス稼働確認 | TCP | TCPポートスキャン |
| TCPサービススキャン | ||
| UDP | UDPポートスキャン | |
| UDPサービススキャン | ||
| サービスバージョン確認 | サービス全般 | バナー情報収集 |
| 主要サービス診断 | FTP | FTP匿名接続 |
| FTPサービス脆弱性 | ||
| SSH | SSHプロトコルバージョン | |
| SSH簡易パスワード推測 | ||
| SSHサービス脆弱性 | ||
| Telnet | Telnet簡易パスワード推測 | |
| Telnetサービス脆弱性 | ||
| SMTP | SMTP不正中継 | |
| SMTP簡易アカウント推測確認(EXPE,VRFY) | ||
| SMTPサービス脆弱性 | ||
| DNS | DNS再帰問い合わせ(DNSキャッシュポイズニング) | |
| DNS非再帰問い合わせ(DNSキャッシュ調査) | ||
| DNSゾーン転送 | ||
| DNSサービス脆弱性 | ||
| Finger | Fingerアカウント情報収集 | |
| HTTP/HTTPS | HTTPメソッド | |
| サンプルファイル、デフォルトファイル調査 | ||
| ディレクトリリスティング | ||
| パストラバーサル | ||
| 簡易クロスサイト・スクリプティング | ||
| HTTPアプリケーションマッピング | ||
| WebDAV/FrontPage脆弱性 | ||
| HTTP/HTTPSサービス脆弱性 | ||
| SSLプロトコルバージョン・暗号化強度 | ||
| SSLサーバ認証 | ||
| POP | POPサービス脆弱性 | |
| NTP | NTPサービス脆弱性 | |
| SNMP | SNMP簡易コミュニティ推測 | |
| SNMPサービス脆弱性 | ||
| R系 | R系認証 | |
| NetBIOS | システム情報収集 | |
| SMB/CIFS | SMB/CIFSアカウント情報収集 | |
| RPC | RPC情報収集 | |
| その他 | 不正プログラム | トロイの木馬 |
| バックドア |
| 項目 | 内容 | ||
|---|---|---|---|
| 1 | エグゼクティブサマリー | 総評、リスク、対策指針のまとめを記述します。 | |
| 2 | 診断結果 | セキュリティランク | ホストごとのセキュリティランクおよび総合スコアを記述します。 |
| アプリケーション一覧 | ホストごとに検出されたアプリケーションの一覧を記述します。 | ||
| 脆弱性一覧 | ホストごとに検出された脆弱性の一覧を記述します。※ | ||
| 3 | 脆弱性詳細 | 検出された脆弱性ごとに対策や検証例を記述します。※ | |
| 4 | 診断概要 | 診断対象の一覧や診断項目などを記述します。 | |
※ペネトレーションテストの場合、具体的に悪用可能な脆弱性のみ記載します。
リモート診断
インターネット経由でペネトレーションテストを実施します。外部ネットワークからの不正侵入により、被害(個人情報漏えいなど)を受けるリスクがないかを調査します。
ローカル診断
イントラネット内からペネトレーションテストを実施します。内部ネットワークからの不正侵入により、被害(個人情報漏えいなど)を受けるリスクがないかを調査します。
| 大分類 | 項目 |
|---|---|
| フェーズ1:情報収集 | 脆弱性診断による脆弱性および設定情報収集
※前述の脆弱性診断に相当 |
| ユーザ情報収集 | |
| フェーズ2:侵入調査 | フィルタリング回避 |
| 脆弱性検証 | |
| パスワード解析 | |
| 総当り攻撃・辞書攻撃 | |
| サービス拒否攻撃(DoS攻撃) |
高精度な診断
複数の診断ツールを使用し、網羅性の高い診断を実施します。
さらに、経験豊富なエンジニアによるマニュアル診断を併用することで、過剰検知や検出漏れを防止し精度の高い診断を実現しています。
*ペネトレーションテストでは、侵入者と同じ視点で実際にシステムに侵入を試み、テストを実施します。
豊富な経験と実績
金融機関を始めとする、厳格なセキュリティレベルを要求されるシステムにおいて多くの実績があります。
分かりやすい報告書
エグゼクティブサマリー、ホストごとの診断結果(スコアや検出された脆弱性)、脆弱性の詳細情報などからなる詳細な診断報告書を提出します。
システム監査など、さまざまなコンプライアンスで要求される報告書作成にも柔軟に対応します。
![1事前準備:1.キックオフ(MOTEX / お客様) 2.ヒアリングシートの記入(お客様) 3.診断環境準備※1(お客様) 4.サーバ管理者や業者への事前連絡(お客様) ※1必要に応じバックアップ・FWなどの設定をお願いいたします。セキュリティ製品(FWやID/IPS)によっては診断を阻害する機能を有している場合がありますので、一部解除をお願いいたします。 2 1.診断(ネットワーク脆弱性診断[リモート診断]、ペネトレーションテスト共通)の場合:1.診断開始連絡(窓口ご担当者様へメールにてご連絡)(MOTEX) 2.診断実施※2(MOTEX) 3.診断終了連絡※3(MOTEX) 4.レポート作成(MOTEX) ※2ペネトレーションテストの場合は、情報収集と侵入調査方法検討時間をいただきます。 ※3緊急度の高い脆弱性は、都度メールにて窓口にてご担当者様へ連絡します。 2.診断(ネットワーク脆弱性診断[ローカル診断]、ペネトレーションテスト共通)の場合:1.入館準備(お客様) 2.診断機器の持ち込み設定※4(MOTEX) 3.診断実施※2 (MOTEX) 4.レポート作成※5(MOTEX) ※4診断機器には、IPアドレスを3つ割り当てていただく必要があります。(同一セグメント内) ※5診断結果持ち出しのご許可をいただき当社環境にて報告書を作成します。](/professional-service/assets/images/service/assess_consulting/network_assess/img-04.png)
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。
ヘルプデスクサポート
平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)
