- セキュリティ診断サービス
- 特長
- サービス体系
- サービス素材
- FAQ PDF版
(405KB) - FAQ HTML版
- パンフレット・資料
- ホーム >
- 製品 & サービス >
- PoweredSolution >
- 情報セキュリティマネジメントソリューション >
- セキュリティ診断サービス >
- FAQ
セキュリティ診断サービス
FAQ
[索引]
共通項目 | ネットワーク診断 | ホスト診断 | データベース診断 | Webアプリケーション診断
共通項目
- セキュリティ診断の種類について教えてください
- 診断前に必要な作業はありますか?
- 診断はどのように行われますか?
- 診断中に診断対象機器で業務の継続は可能ですか?
- 誤検出とは何ですか?
- 誤検出は発生しますか?
- 診断当日は立会いが必要ですか?
- 納品物はどのようなものが渡されるのですか?
- 検出された脆弱性の対処は行っていただけますか?
- 診断結果に対するQAサポート期間はどのくらいですか
- セキュリティ診断後に対策を行ったサーバに対して再診断は必要ですか?
- 再診断は、サービスに含まれていますか?
- ペネトレーションテストはしていないのですか?
- 診断予定時間内に診断が終わらない場合はどうなるのですか?
- 診断結果データを持ち帰る場合、暗号化等の情報漏洩対策していますか?
ネットワーク診断
- ネットワーク診断では何をチェックできるのですか?
- ポートスキャンは何番までをチェックできますか?
- 診断時間はどのくらいかかりますか?
- 事前に必要な情報はありますか?
- 診断後に必要な作業はありますか?
- 診断可能な機器の種類を教えてください
- レポートは日本語ですか?
ホスト診断
- ホスト診断では何をチェックできるのですか?
- 診断時間はどれくらいですか?
- 事前に必要な情報はありますか?
- 事前に必要な作業はありますか?
- 診断時に必要な作業はありますか?
- サーバの設定を変更することはありますか?
- 診断後に必要な作業はありますか?
- レポートは日本語ですか?
- 診断可能な機器を教えてください
データベース診断
- データベース診断では何をチェックできるのですか?
- ライセンス数のカウントの仕方を教えてください
- 診断時間はどのくらいですか?
- 事前に必要な情報はありますか?
- 事前に必要な作業はありますか?
- 診断時に必要な作業はありますか?
- 対象となるデータベースを教えてください
- データベース診断後に必要な作業はありますか?
- レポートは日本語ですか?
Webアプリケーション診断
- Webアプリケーション診断で何をチェックできるのですか?
- 診断時間はどのくらいですか?
- 事前に必要な情報はありますか?
- 事前に必要な作業はありますか?
- サーバ内のファイルへの書き込みは発生しますか?
- 診断後に必要な作業はありますか?
- 携帯サイトの診断は可能ですか?
- レポートは日本語ですか?
- 診断可能な機器を教えてください。
Q
セキュリティ診断の種類について教えてください
A
【ネットワーク診断】
ネットワーク経由のセキュリティ診断。
診断対象機器に対して調査パケットを送信し、そのレスポンスから脆弱性を分析。
外部から確認できる脆弱性を検出したい場合に有効な診断方法です。
【ホスト診断】
診断対象機器の内部からのセキュリティ診断。
診断対象機器上で診断用ツールを実行し、システム内部に存在する脆弱な構成について分析。
システム内部に存在する脆弱性を検出したい場合に有効な診断方法です。
【データベース診断】
データベースに特化したセキュリティ診断。
サーバに搭載されているデータベースに対して、侵入検査と、監査の2種類の方法を用いて、脆弱性を分析。
データベースに特化した脆弱性を検出したい場合に有効な診断方法です。
【Webアプリケーション診断】
Webアプリケーションに特化したセキュリティ診断。
クロスサイトスクリプティングやSQLインジェクションといった、Webアプリケーションに特化した脆弱性を検出した場合に有効な診断方法です。
これら診断サービスを個々に行うのではなく、総合的に全ての診断を行うことを推奨しています。
Q
診断前に必要な作業はありますか?
A
診断対象機器のバックアップをお願いします。
Q
診断はどのように行われますか?
A
当社持込診断PCをお客様ネットワークに接続して行います。
また、ネットワーク診断やWebアプリケーション診断は、インターネット経由の診断も可能です。
Q
診断中に診断対象機器で業務の継続は可能ですか?
A
診断中は、占有させていただきます。そのため他のサービスの提供など行わないようにしてください。
Q
誤検出とは何ですか?
A
脆弱性ではないものが、判断を誤って脆弱性だと検出されてしまうことを言います。
Q
誤検出は発生しますか?
A
発生する場合もありますが、当社の診断サービスでは、誤検出が発生しやすい項目について、手動でチェックを行っています。
Q
診断当日は立会いが必要ですか?
A
診断当日はお客様に立ち会っていただきます。
Q
納品物はどのようなものが渡されるのですか?
A
診断結果報告書をお渡しします。
Q
検出された脆弱性の対処は行っていただけますか?
A
対処案の提示のみとなり、対処はお客様に行っていただきます。
Q
診断結果に対するQAサポート期間はどのくらいですか
A
診断結果報告会から1ヶ月有効です。
Q
セキュリティ診断後に対策を行ったサーバに対して再診断は必要ですか?
A
診断後に行われた設定・対処が適切に行われているか確認を行うためにも、再診断を行うことを推奨します。
Q
再診断は、サービスに含まれていますか?
A
再診断はオプションとなり、別途お見積もりとさせていただきます。
Q
ペネトレーションテストはしていないのですか?
A
お客様のご要望により、ペネトレーションテストを実施することが可能です。
Q
診断予定時間内に診断が終わらない場合はどうなるのですか?
A
診断の進捗具合から診断時間の修正、見込み時間をお客様にご報告します。
その都度、お客様と作業・時間の調整をさせていただきます。
Q
診断結果データを持ち帰る場合、暗号化等の情報漏洩対策していますか?
A
情報漏洩対策として、診断PCとモバイルハードディスクには、暗号化とパスワードを設定しています。また診断時に取得した情報は、入室制限のかかった部屋でアクセス制限されたファイルサーバに置かれています。
Q
ネットワーク診断では何をチェックできるのですか?
A
外側から発見できる脆弱性をチェックできます。詳細については、『ネットーワーク診断内容』をご参照ください。
| 脆弱性分類 | 診断内容 |
|---|---|
| CGI スクリプト | /cgIPアドレスhf cgiスクリプトのような、セキュリティ脆弱性を持つCGIスクリプトが存在するかどうかを確認します。 |
| DoS | ICMP フラグメンテーション攻撃、Ping of Death、その他、マシンやサービスをオフラインにするなどといったサービス妨害を引き起こす、サービス妨害攻撃に対する耐性を確認します。 |
| データベース | Oracle,MySQL,MSSQLなどデータベースアプリケーションに存在する脆弱性を調査します。 |
| FTPサーバ | ファイル転送プロトコルに関する脆弱性を調査します。 |
| メールサーバ | SMTP、IMAP、POP2、POP3やその他インターネットメールサーバの脆弱性を調査します。 |
| NetBIOS | NETBIOSプロトコルの脆弱性を調査します。リモートのWindows ファイル共有内のパーミッション問題を検出します。 |
| レジストリ | 脆弱性確認に利用可能なレジストリ値の存在を確認します。 |
| リモートアクセス | リモートアクセスエージェントの脆弱性を調査します。 |
| RPCサービス | Remote Procedure Call(RPC)サービスの脆弱性を調査します。 |
| SSHサーバ | Secure Shell サーバの脆弱性を調査します。 |
| Webサーバ | WWWサーバの脆弱性を調査します。 |
| バックドア | ポートスキャンとプロトコル判定機能によりバックドアプログラムによって稼動するオープンポートを検出します。 |
| ユーザー | 脆弱な設定が行われているユーザーを検出します。 |
| ピアツーピアー | ポートスキャンや稼働プロセスの調査によりP2Pプログラムの稼働を調査します。 |
| スパイウェア | ポートスキャンや稼働プロセスの調査によりスパイウェアプログラムの稼働を調査します。 |
Q
ポートスキャンは何番までをチェックできますか?
A
デフォルトでは、wellknownポート(1~1023番)とよく使用されるサービスをチェックします。
オプションで、1~65535番までチェックすることも可能です。
Q
診断時間はどのくらいかかりますか?
A
環境によって変わりますが、一般的に1時間程度となります。
Q
事前に必要な情報はありますか?
A
以下の情報をご提供願います。
診断対象とするIPアドレス数、OS、ネットワーク図
Q
診断後に必要な作業はありますか?
A
診断の負荷により、診断対象機器が不安定になる可能性があるので、再起動と動作確認が必要となります。
Q
診断可能な機器の種類を教えてください
A
TCP/IPで通信できる機器であれば全て診断可能です。
Q
レポートは日本語ですか?
A
ツールレポート、および報告書は日本語で提供いたします。
Q
ホスト診断では何をチェックできるのですか?
A
OSの設定をチェックできます。詳細については、下記『ホスト診断内容』をご参照ください。
| ぜい弱性分類 | 診断内容 | OS種別 | |
|---|---|---|---|
| セキュリティパッチ | セキュリティパッチ | 最新のセキュリティパッチが適用されているかを確認します。 | 共通 |
| パスワード設定 | 最小パスワード長 | 最小パスワード長がしきい値以上に設定されているかを確認します。 | 共通 |
| パスワードの有効期間 | パスワードの有効期間がしきい値以下に設定されているかを確認します。 | 共通 | |
| パスワードの変更禁止期間 | パスワードの変更禁止期間がしきい値以上に設定されているかを確認します。 | 共通 | |
| パスワードの履歴保持数 | パスワードの履歴の保存数がしきい値以上に設定されているかを確認します。 | 共通 | |
| パスワードが未設定のアカウント | パスワードのないアカウントの検出を試みます。 | 共通 | |
| パスワードが推測可能なアカウント | 簡単に推測できるパスワード持つアカウントの検出を試みます。 | 共通 | |
| パスワードを変更できないアカウント | パスワードを変更できないアカウントの検出を試みます。 | Windows | |
| 無期限のパスワードを持つアカウント | 無期限パスワードを持つアカウントの検出を試みます。 | Windows | |
| パスワードの変更警告期間 | パスワードの変更警告期間がしきい値以上に設定されているかを確認します。 | UNIX | |
| 長期間パスワードが変更されていないアカウント | 同じパスワードを使用しつづけているアカウントの検出を試みます。 | UNIX | |
| パスワードロックされているアカウント | パスワードロックされているアカウントの検出を試みます。 | UNIX | |
| アカウント設定 | ユーザー権利の割り当て | ユーザー権利の割り当て状況を確認します。 | Windows |
| 管理ユーザーの変名 | Administrator アカウント名が変更されているかを確認します。 | Windows | |
| ゲストユーザーの変名 | Guest アカウント名が変更されているかを確認します。 | Windows | |
| アカウントのログオン時間 | ログオン時間に制限のないアカウントの検出を試みます。 | Windows | |
| アカウントのログオン先 | ログオンできるワークステーションに制限のないアカウントの検出を試みます。 | Windows | |
| アカウントの有効期限 | 有効期限のないアカウントの検出を試みます。 | Windows | |
| 管理ユーザー | ユーザー アカウントが正しく設定されているかを確認します。(passwd ファイルの設定、ID重複の有無など) | 共通 | |
| システムに存在するアカウントの設定 | 無期限パスワードを持つアカウントの検出を試みます。 | UNIX | |
| ホームディレクトリの設定 | アカウントのホームディレクトリが正しく所有されているかを確認します。(所有者、パーミッションなど) | UNIX | |
| 特権を持つアカウント/グループ | 特権を持っている可能性のあるアカウント/グループを検出します。 | UNIX | |
| ログインシェルの設定 | ログインシェルが正しく設定されているかを確認します。(所有者、パーミッション、shellsファイル登録など) | UNIX | |
| ログイン設定 | アカウントロック | アカウントのロックアウトは有効に設定されているかを確認します。 | Windows |
| アカウントロックの回数 | ロックアウト回数が適切に設定されているかを確認します。 | Windows | |
| アカウントロックの期間 | ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します。 | Windows | |
| アカウントロックのリセット | ロックアウト カウンタをリセットする時間がしきい値以上に設定されているかを確認します。 | Windows | |
| 休止アカウント | 休止アカウント(X日以上ログインされていないアカウント)の検出を試みます。 | 共通 | |
| ログオン前のメッセージ | ログオン前のユーザーへのメッセージ通知設定を確認します。 | Windows | |
| 前回ログオンしたアカウント名 | ログオン ダイアログ ボックスでユーザー名を表示しない設定になっているかを確認します。 | Windows | |
| ログオンダイアログボックスからのシャットダウン | ログオン ダイアログ ボックスでシャットダウンできない設定になっているかを確認します。 | Windows | |
| ログオン時間 | ログオン時間をオーバーしたユーザーは強制切断される設定になっているかを確認します。 | Windows | |
| 管理ユーザーのリモートログイン | rootアカウントでのリモートログインが制限されているかを確認します。 | UNIX | |
| ネットワーク設定 | ドメインの信頼関係 | 共有ディレクトリの検出を試みます。 | Windows |
| 共有ディレクトリの存在 | Administrator アカウント名が変更されているかを確認します。 | Windows | |
| フルコントロール可能な共有ディレクトリ | [Everyone]グループにフルコントロールを与えている共有ディレクトリの検出を試みます。 | Windows | |
| 共有ディレクトリのアクセス権 | 共有ディレクトリに設定されているアクセス権の検出を試みます。 | Windows | |
| RRASサービス | リモート アクセス サービス(RRAS)が無効に設定されているかを確認します。 | Windows | |
| 起動中のサービス | 明示的にオープンされているTCP/UDPポートの検出を試みます。 | 共通 | |
| sendmailの設定 | sendmailが正しく設定されているかを確認します。 | UNIX | |
| FTPの設定 | FTPが正しく設定されているかを確認します。 | UNIX | |
| FTPの無効化 | TFTPが無効に設定されているかを確認します。 | UNIX | |
| 監査設定 | 成功の監査 | 共有ディレクトリの検出を試みます。 | Windows |
| 失敗の監査 | 失敗監査ポリシーの設定を確認します。 | Windows | |
| セキュリティイベントログの保持 | セキュリティ イベントのログのサイズがしきい値以上に設定されているかを確認します。 | Windows | |
| セキュリティイベントログのサイズ | セキュリティ イベントのログ記録が上書き禁止に設定されているかを確認します。 | Windows | |
| イベントログの記録 | イベントログ記録が有効に設定されているかを確認します。 | UNIX | |
| プロセスアカウント | プロセス アカウントが有効に設定されているかを確認します。 | UNIX | |
| ログインログの記録 | ログインログの記録が有効に設定されているかを確認します。 | UNIX | |
| SUコマンドの記録 | SU コマンドログの記録が有効に設定されているかを確認します。 | UNIX | |
| スタートアップ設定 | インストールされているサービス | 共有ディレクトリの検出を試みます。 | 共通 |
| リモートからのレジストリアクセス | リモート レジストリ アクセスが禁止に設定されているかを確認します。 | Windows | |
| RCファイルの設定 | rc スクリプト ファイルが正しく設定されているかを確認します。 | UNIX | |
| ディスクの空き容量 | ディスクの空き容量が十分かを確認します。 | UNIX | |
| スタートアップファイル | ユーザー スタートアップ ファイルが正しく設定されているかを確認します。(パーミッション、PATH、UMASK(しきい値以上)など) | UNIX | |
| ホームディレクトリ配下のファイル、ディレクトリ | ユーザー ホームディレクトリ下のファイル/ディレクトリが正しく設定されているかを確認します。(所有者、パーミッション、不審なファイルの存在など) | UNIX | |
Q
診断時間はどれくらいですか?
A
診断対象機器のスペックやアカウント数によって時間は異なりますが、目安として30分程度とお考えください。
Q
事前に必要な情報はありますか?
A
以下の情報をご提供願います。
診断対象機器台数、OS、ネットワーク図
Q
事前に必要な作業はありますか?
A
特にありません。
Q
診断時に必要な作業はありますか?
A
管理者権限でログインをしていただきます。
Q
サーバの設定を変更することはありますか?
A
ありません。
Q
診断後に必要な作業はありますか?
A
動作確認が必要となります。(ホスト診断では、再起動は必要ありません。)
Q
レポートは日本語ですか?
A
ツールレポート、および報告書は日本語で提供いたします。
Q
診断可能な機器を教えてください。
A
ホスト診断ツールのベンダーサイトをご確認ください。
東芝ITサービス株式会社(対応OS)へ
http://www.it-serve.co.jp/products/security/02_01.htm
Q
データベース診断では何をチェックできるのですか?
A
データベースに特化した脆弱性をチェックできます。詳細については、下記『データベース診断内容』をご参照ください。
| 脆弱性分類 | 診断内容 |
|---|---|
| アカウント権限 | アカウントに適切なロールや権限が設定されているか確認 |
| パスワードポリシー | パスワードの期限や文字数などが適切に設定されているか確認 |
| パスワード強度 | デフォルトのパスワードや推測しやすいパスワードがないか確認 |
| パスワード保護 | パスワードファイルへのアクセスが制限されているか確認 |
| アカウントロック | ログインに複数回失敗した場合、ロックアウトする設定になっているか確認 |
| テーブルのアクセス制限 | テーブルに適切なアクセス制限が設定されているか確認 |
| リソース制限 | リソース制限が適切に設定されているか確認 |
| 監査 | 監査ログを適切に取得しているか確認 |
| ログイン認証 | 通信を暗号化をするなど適切なログイン設定がされているか確認 |
| レジストリパーミッション | Oracle関連のレジストリに適切なアクセス制限が設定されているか確認 |
| ファイルパーミッション | Oracle関連のファイルに適切なアクセス制限が設定されているか確認 |
| トロイの木馬 | Oracleの実行ファイルが置き換えられていないか確認 |
Q
ライセンス数のカウントの仕方を教えてください
A
データベースインスタンス数=ライセンス数となります。
Q
診断時間はどのくらいですか?
A
目安として、約1時間半程度となります。
Q
事前に必要な情報はありますか?
A
ユーザー名とユーザーパスワード、データベース使用のポート番号が必要になります。
Q
事前に必要な作業はありますか?
A
データベースのバックアップをお願いします。
Q
診断時に必要な作業はありますか?
A
管理者権限でログインをしていただきます。
Q
対象となるデータベースを教えてください
A
データベース診断ツールベンダーサイトをご確認ください。
アイディネットワークス株式会社(AppDetectiveが対象とするシステム)へ
http://www.idnetworks.co.jp/products/appsec/
Q
データベース診断後に必要な作業はありますか?
A
動作確認が必要となります。
Q
レポートは日本語ですか?
A
ツールから出力されるレポートは、英語のみとなりますが、報告書は日本語でご提供します。
Q
Webアプリケーション診断で何をチェックできるのですか?
A
Webアプリケーションに特化した脆弱性をチェックできます。詳細については、下記『Webアプリケーション診断内容』をご参照ください。
| ぜい弱性分類 | 診断内容 | |
|---|---|---|
| サーバ設定 | 製品の設定ミス | 不要なメソッドの存在や、不適切な設定の存在を確認します。 |
| 認証 | 製品の既知の脆弱性 | 使用しているミドルウェア製品の既知の脆弱性の存在を確認します。 |
| 認証方式 | 脆弱な認証方式を採用していないかを確認します。 | |
| パスワード強度 | 認証で使用しているパスワードルールが適切であるかを確認します。 | |
| 権限昇格 | ユーザーの権限の昇格ができないかを確認します。 | |
| セッション管理 | セッション管理方式 | 脆弱なセッション管理方式を使用していないかを確認します。 |
| セッションID強度 | セッションIDの強度を確認します。 | |
| セッションのライフサイクル | セッションIDの再利用ができないことを確認します。 | |
| 暗号化 | 通信の暗号化 | 重要な情報が暗号化して送信されていることを確認します。 |
| 証明書 | サーバ証明書の内容が適切であるかを確認します。 | |
| パラメーター改竄 | クロスサイトスクリプティング | 重要な情報が暗号化して送信されていることを確認します。 |
| コマンドインジェクション | OSコマンドを実行できないかを確認します。 | |
| SQLインジェクション | SQLコマンドを実行できないかを確認します。 | |
| パラメーター改竄 | パラメーター値を不正に改竄した値が受け付けられないかを確認します。 | |
| バッファオーバーフロー | パラメーター値を不正に改竄した値が受け付けられないかを確認します。 | |
| 強制ブラウジング | 公開されていない重要データに直接アクセスできないことを確認します。 | |
| ディレクトリトラバーサル | 相対パスを使用してディレクトリ移動できないことを確認します。 | |
| Hiddenフィールドの改竄 | Hiddenフィールドの受け渡しに起因する問題がないかを確認します。 | |
| エラー処理 | エラー処理が適切に行われ、過剰な情報をエラーメッセージに含めていないかを確認します。 | |
| その他 | クロスサイトリクエストフォージェリ | クロスサイトリクエストフォージェリが実行できないかを確認します。 |
| クライアントのセキュリティ | クライアントのセキュリティを考慮しているかを確認します。 | |
| ソース中のコメント | HTMLソースファイル内に過剰な情報が含まれていないかを確認します。 | |
Q
診断時間はどのくらいですか?
A
目安として、1日10画面程度の診断が可能です。
Q
事前に必要な情報はありますか?
A
診断対象とするWebサイトの画面遷移図や操作マニュアルなどの提示をお願いします。
Q
事前に必要な作業はありますか?
A
診断対象機器のデータのバックアップ、診断用アカウントの準備をお願いします。
Q
サーバ内のファイルへの書き込みは発生しますか?
A
Webアプリケーションでファイルやデータベースへの書き込み処理を実装している場合は発生します。
Q
診断後に必要な作業はありますか?
A
システムのリストアと診断対象機器の動作確認が必要となります。
Q
携帯サイトの診断は可能ですか?
A
条件により診断可能です。別途お問い合せください。
Q
レポートは日本語ですか?
A
ツールレポート、および報告書は日本語で提供いたします。
Q
診断可能な機器を教えてください。
A
HTTP、HTTPSを使用しているサイトであれば、全て診断可能です。
トップページ | 特長 | サービス体系 | サービス素材 | FAQ (PDF版 | HTML版) | パンフレット・資料
 |
製品・サービスに関するご質問やご相談などを承っております。ぜひ、お気軽にお問い合わせください。 |
|
|
|
 |
富士通グループ各社、富士通SDC会員様(富士通販売パートナー様)向けに各種拡販資料を掲載しております。 |
|
|
|
新着情報に簡単にアクセスできます。