私たち「GMO INTERNET GROUP」のサービスは国内・海外で多くのお客様にご利用いただいております。

データセンター・仮想化サーバーはIQcloudマネージドサービス

ホーム > サービス一覧 > ソリューション > 脆弱性診断サービス

ラックやネットワーク、レンタル機器類の基本サービスに加え、様々なご要望に対応できる各種ソリューションを取り揃えております。設定作業も弊社が行いますので、お客さまによる追加購入は必要ありません。

脆弱性診断サービス

ソフトをプリインストール、運用代行までパッケージ化。

特徴

脆弱性診断サービスは、外部からネットワークやWEBアプリケーションの脆弱性診断を毎日実施し、 一定基準に合格すれば、サイト上にセキュリティ証明書が配信されます。低コストで最高レベルの脆弱性診断が可能な上、セキュリティー証明も行うことができます。

万が一セキュリティーホールなどを発見した場合、アラートメールがお客さまの登録メールアドレスに送信されます。また、診断結果に対して対策方法などをお知らせします。


料金

サービス 年額(税込)
McAfee SECURE デイリー診断(IP×3)  402,150円/年

メリット・使い方

サービスの特徴

  • 脆弱性診断(リモートスキャンのエンジンは、McAfee社)
  • 日次診断に加え、お客様による脆弱性診断の実行
  • 約1万項目のセキュリティ検査を毎日実施
  • セキュリティ検査は3つのフェーズで実行(フェーズ1,2は、ネットワーク侵入テスト。フェーズ3はWebアプリケーションテスト)

セキュリティ証明書

  • 安全性確認、セキュリティ証明シール表示

導入、導入後のサポート

  • サポートスタッフがサポート

通知およびレポート(Web形式)

  • 緊急警告メール
  • 脆弱性(5段階)の定義してレポート
  • 脆弱性一覧、脆弱性の概要表示・解決方法の表示
  • 詳細なURLと追加情報(リンク)の表示

サービス詳細

セキュリティ検査

セキュリティ検査は3つのフェーズで実行されます。

フェーズ1および2ではネットワークの構成部分を、フェーズ3ではWebアプリケーションの検査を実施します。

ネットワーク侵入テスト

フェーズ1 は情報収集フェーズで、スキャン対象デバイスの開いているポートを検出するために、全TCPポートおよび脆弱性のある UDPポートのスキャンを実行します。お客様のファイヤーウォールやIDSのブロックによりスキャンが長時間にわたる場合があります。 もし、すべてのポートを確実にスキャンすることをご希望するのであれば、ブロックされないようにハッカーセーフのスキャン元IPを除外リストに登録していただく必要があります。(マスターカードのSDPコンプライアンスにも同様な要求がされています。)

フェーズ2 では、それぞれ開いているポートに対して応答信号を送信し、タイプ・バージョンを含む正しいサービスが稼動しているかどうか調査します。その後、各ポートに対してサービス特有の一連のテストを開始します。DNS、SMTP、SSH、FTP、HTTP、SNMPなどの各サービスに対し、サーバーやサービスの情報、レスポンス結果との照合などにより、既知の脆弱性をテストします。

Webアプリケーションテスト

フェーズ3 では、Webアプリケーションのテストを行います。HTTPサービスと仮想ドメインに対して、潜在的な危険性のあるモジュールの存在、構成の設定、CGIやその他のスクリプトをテストします。その後、Webサイト上でFormを探索します。

発見したFormを特定の方法で起動させることで、コード発覚、クロスサイトスクリプティング、SQLインジェクションなどのアプリケーションレベルの脆弱性を検査します。設定ミスやコーディングエラー脆弱性を明確にするために汎用的なテストと、各ソフトウェア向けのテストを実施します。

脆弱性(5段階)の定義

レベル5(緊急): Root権限/管理者権限取得の危険性のある脆弱性

緊急の脆弱性により、リモートからの侵入者は、rootもしくは管理者権限を取得します。このタイプの脆弱性を悪用することにより、ハッカーはホスト全体を脆弱化させることができます。このカテゴリーには、ファイルシステム全体に対して読み取り・書き込み可能な権限をリモートハッカーに与える脆弱性や、rootもしくは管理者ユーザとしてリモートコマンドを実行可能な能力を与える脆弱性があります。バックドアやトロイの木馬の存在も、緊急の脆弱性と見なされます。
<脆弱性による弊害例> 機密情報の閲覧可能,個人情報漏洩,価格の改ざん,セッションハイジャック,情報改ざん,サイトの情報の消去が可能

レベル4(重要): 一般ユーザ権限取得の危険性のある脆弱性

重要な脆弱性は、侵入者にリモートユーザ権限を与えますが、リモート管理者やrootユーザ権限は与えません。重要な脆弱性により、ハッカーはファイルシステムに対して部分的なアクセスが可能です。(例えば、完全な書込権限はなく、完全な読み取りアクセスのみなど。)高度な機密情報を露呈する脆弱性も、重要な脆弱性と見なされます。
<脆弱性による弊害例> サーバにログインされてしまう,OSやサービスの停止

レベル3(高):その他の危険な脆弱性(バッファーオーバーフローなど)

高レベルの脆弱性により、ハッカーはセキュリティ設定を含むホスト上に保管された特定の情報にアクセス可能です。これらの脆弱性は、侵入者によるホストの悪用をもたらす可能性があります。高レベルの脆弱性の例としては、ファイルの内容の部分的な発覚、ホスト上の特定のファイルへのアクセス、ディレクトリの閲覧、フィルタリング規則とセキュリティメカニズムの発覚、DoS攻撃に対する感受性、メールリレー等許可されていないサービスの使用などがあります。
<脆弱性による弊害例>サーバへのファイルアップロード,迷惑メールの踏み台にされる。

レベル2(中):ホストに関する情報漏洩等の警告

中レベルの脆弱性は、サービスの正確なバージョンなどホストからの機密情報を露呈し、この情報により、ハッカーはホストを攻撃するための調査をする可能性があります。

レベル1(低):  開いているポート情報などの注意

低レベルの脆弱性は、開いているポートなどの情報です。

※レベル2以上は72時間対応必要(対応不可の場合シールが消えてしまいます)

料金一覧
IQcloud マネージドサービスの料金一覧をご確認いただけます。

サービス一覧

ラックサービス

ネットワーク

レンタル機材

設計・構築サービス

運用・保守サービス

ソリューション

お電話でのお問い合わせ:0120-570-195

メールフォームへ

サービス一覧

サイトマップ | よくある質問 | プレスリリース | 個人情報の取り扱いについて別ウィンドウが開きます | 個人情報保護法にもとづく公表事項別ウィンドウが開きます
会社概要 | サイトポリシー | 特定商取引法 | ご利用約款 | アイル専用サーバー別ウィンドウが開きます | TOP

(C) GMO CLOUD K.K.

ISMS認証