脆弱性診断
脆弱性診断サービス
ホワイトハッカーが攻撃者の視点で様々な疑似攻撃を行い、潜在的な脆弱性の有無を診断。
本サービスでは、お客様が公開されているスマートフォン向けのアプリケーションや、ご利用されているWebアプリケーション、またサーバやネットワーク等のプラットフォームに対し、ホワイトハッカーが攻撃者の視点で様々な疑似攻撃を行うことで潜在的な脆弱性の有無を診断し、適切なセキュリティ対策をご支援します。また、お客様のWebシステム等の運用に影響が発生しない方法をご提案いたします。
「IT環境を守ること」は、「企業・組織を守ること」。
今では、スマートフォン向けのアプリケーション、Webアプリケーション、プラットフォームは企業や組織を運営する上で非常に大きな役割を担っており、ビジネスに不可欠な存在です。一度、改ざんや情報漏えいなどの被害が発生すると、サービス停止や顧客への補償等、事業に直結する影響を受けかねません。
ホワイトハッカーとは?
当社メンバーは、中央省庁や大手企業様のサイバーセキュリティを支援、アドバイザーとして活動していたホワイトハッカー集団です。妥協せず、お客様の安心を追求します。
サイバー攻撃は無くならない
攻撃者の目的の大半が「ビジネス」です。企業規模・機密情報の有無に関係なく幅広い企業が攻撃対象となっている中、特にスマートフォン向けのアプリケーション、Webアプリケーションやプラットフォームへのセキュリティ投資は敬遠されがちです。そのため、容易に攻撃できる脆弱なアプリケーションやプラットフォームなどが乱立しサイバー攻撃は今後も増え続けるとされています。
スマートフォンアプリケーション脆弱性診断
スマートフォンもPC同等のセキュリティ対策が必須
スマートフォンの普及が急激に進み、今後はPC向けインターネットサービスよりもスマートフォン向けサービスの利用が増えていくとされています。
その為、スマートフォンアプリケーションを活用したマーケティングに合わせたセキュリティ対策が必要となっています。
【診断内容】
弊社のホワイトハッカーがiOSやAndroidアプリなどのスマートフォンアプリケーションの脆弱性を、JSSECやセキュアコーディングガイドやOWASPMobile Top10に基づき調査します。
【診断方法】
リバースエンジニアリングしたソースコードから脆弱性を調査します。またアプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。
スマホアプリの問題点やリスクを見える化することにより
インシデント発生時に、適切な対応を行うことができます。
| Androidアプリ脆弱性診断 | iOSアプリ脆弱性診断 | |
|---|---|---|
| 通信 | ・不正通信の確認 ・重要情報の送信方法 ・SSL/TLS証明書検証 | ・不正通信の確認 ・重要情報の送信方法 ・SSL/TLS証明書検証 |
| 端末内データ | ・重要情報の保持方 ・データ改ざんによる不正行為 ・バーミッションの設定不備 ・SDカードの重要情報の出力 ・ログへの重要情報の出力 | ・重要情報の保持方 ・データ改ざんによる不正行為 |
| ロジック ソースコード | ・コンテントプロバイダのアクセス制御不備 ・インテントによる重要情報の出力 ・Web View関連の脆弱性の有無 ・耐タンパー性の確認 ・ソースコードへの重要情報の出力有無 ・通信プロトコルの解析 ・ロジック改ざん ・リバースエンジニアリングによる脆弱性解析 | ・Web View関連の脆弱性の有無 ・耐タンパー性の確認 ・ソースコードへの重要情報の出力有無 ・通信プロトコルの解析 ・リバースエンジニアリングによる脆弱性解析 |
Webアプリケーション脆弱性診断
【診断内容】
弊社のホワイトハッカーや脆弱性診断チームがOWASPMobile Top10に準拠した診断項目に対し様々な疑似攻撃を試行・分析することによって、Webアプリケーションに潜む脆弱性を診断します。
【診断方法】
各種診断ツールとハンドオペレーションによる診断を行い、ネットワーク経由で攻撃者からどのような脆弱性を悪用されるかを調査します。
プラットフォーム脆弱性診断
【診断内容】
弊社のホワイトハッカーや脆弱性診断チームが様々な疑似攻撃を試行・分析することによってOS/ミドルウェア/NWに潜む脆弱性を診断します。
【診断方法】
各種診断ツールとハンドオペレーションによる診断を行い、ネットワーク経由で攻撃者からどのような脆弱性を悪用されるかを調査します。
IaaSセキュリティ診断
IaaSとは、情報システムの基盤に必要な仮想サーバやネットワークなどの機能を提供するサービスです。1つの会社で複数の事業部が複数のIaaSサービスを利用しているといった場合、社内でルール設定が統制されておらず、設定ミスが生じ、セキュリティ事故につながるケースが増えています。このサービスではIaaS全体の管理設定にし、セキュリティ診断を行います。診断の実施により、サイバー攻撃を引き起こすようなセキュリティ上の設定不備を発見することができます。不適合項目への対策方法が明確にされ、安全な運用に繋げることができます。
ソーシャルエンジニアリング診断
グローバル企業との取引をする上で求められるセキュリティ要件の1つで、ソーシャルエンジニアリング対策があります。大手グローバルECサイト企業とのパートナー契約でも求められる要素で、当社はパートナー契約の新規申請、および更新時に必要となるソーシャルエンジニアリング診断を実施しております。イージスによるソーシャルエンジニアリング診断は、お客様の業務を優先し、業務中のご担当者様に負担のかからない実績のある診断をご提供します。