WEBサイト脆弱性診断

新規構築したWEBサイトは、公開した瞬間から徐々にセキュリティレベルが低下していきます。新たに出現するサイバー攻撃手法、新たに発見されるOSやアプリケーションの脆弱性、Webサイト改修の際にできるアプリケーションの脆弱性などがセキュリティレベル低下の原因となります。そしてこれはほとんどのWEBサイトに共通して起きる現象です。

また新規公開直後のWEBサイトだから安心できるわけではありません。システム開発は傾向として納期との闘いとなることが多く、セキュリティが十分に担保されたコーディングがされているケースはむしろ少ないと言えます。

そのためWEBサイトのセキュリティ診断は下記ケースで必要となります。

1 定期診断

ISMS(ISO27001)やプライバシーマーク取得企業・組織などがセキュリティのPDCAを回すために必要となってきます。年に1、2回診断を受け、リスクの把握をします。診断結果に基づきWEBサイトのセキュリティ対策をすることで低下するセキュリティレベルを引き上げることができます。本来、定期診断はすべてのWEBサイトで実施されることが望ましい姿です。

2 新規公開前の診断

新規公開、本番稼働する前のWEBサイトを診断します。新たに開発したアプリケーションに潜む脆弱性を事前に発見、修正を行った後に公開を行います。

3 WEBサイト改修後の診断

WEBサイトのアプリケーションに追加、変更が生じた場合、新たな脆弱性が発生する可能性があります。そのため改修、本番稼働前にあらかじめ診断を受け脆弱性を事前に発見して修正を行います。

フェイスのWEBサイト脆弱性診断

セキュリティ専門技術者がインターネット経由でリモートによりお客様WEBサイトを診断します。
診断内容はOS、ミドルウェアのチェックも含め、通常のセキュリティ運用に必要十分な約30項目程度を実施します。
また近年のサイバー攻撃はWebアプリケーションの脆弱性を突くものが50%を超えており、そのためWebアプリケーションの脆弱性を診断する内容を充実させています。
ご費用はWEBサイト 1サイト30万円からご提供します。
セキュリティ診断結果は報告書としてご提示します。報告内容は開発部門の改善目安となります。

診断項目

(お客様のWEBサイト環境やご要望によって不要な診断、実施できない診断があります。ご了承ください。)

  • ブルート・フォース
  • 脆弱パスワード調査
  • 資格情報/セッション予測
  • セッション固定
  • コンテンツ・スプーフィング
  • クロスサイト・スクリプティング
  • バッファー・オーバーフロー
  • 書式文字列攻撃
  • LDAP 注入
  • OS コマンド実行
  • SQL 注入
  • SSI 注入
  • アプリケーション・プライバシー・テスト
  • リモート・ファイル・インクルード
  • クロスサイト・リクエスト・フォージェリー
  • HTTP レスポンス分割
  • NULL バイト・インジェクション
  • XML 外部エンティティー
  • XPath 注入
  • パス・トラバーサル
  • サービス妨害
  • メール・コマンド注入
  • XML 注入
  • SSL/TLS強度チェック
  • ディレクトリブラウジング
  • ミドルウェアの不適切な設定
  • ミドルウェアの既知の脆弱性
  • 外部リダイレクト
  • ポートスキャン

標的型攻撃メール対応訓練サービス

標的型メール攻撃とは?

特定の人物や組織、あるいはその両者を標的とした攻撃で、通常のメールと区別がつかないようなメールを閲覧することでウイルスに感染し、社内の重要機密を盗み出すような攻撃。メール添付のほか、不正URLへの誘導など、方法は多様化しています。

厄介なことに、ウイルス/スパムフィルタリングでは、100%防ぐことはできません。

ITスキルの高い方であっても、身をもって経験しないとわかりません。

有効な防御方法は?

・メール送信者が信頼できるか確認する。

・不審なメールの添付ファイルを安易に開かない

標的型攻撃メール対応訓練サービス概要

訓練の目的:情報セキュリティにおける脅威の理解と適切な対処の促進

情報セキュリティ教育の一環として、標的型攻撃を想定した不審メールの対処に関する貴社の社員への訓練を実施します。訓練を通じて、より実際の脅威に近い形で社員の皆様に体験していただくことでエンドユーザーを狙うメールを用いた攻撃に対する危機意識とセキュリティ意識が向上し、適切な対処に関する理解の促進が期待されます。

具体的なサービス実施プロセス

標的型攻撃メール対応訓練サービスでは訓練メールを同一対象者に2回配信します。

2回の攻撃メール配信でセキュリティ意識向上の効果を計る本サービスの最小構成としております。

本サービスで期待される学習効果第1回訓練と第2回訓練の改善率

ご提供価格(ご参考)

基本料金:500,000円

アカウント課金:@1,000円×訓練対象者数

※1.消費税別途。

※2.上記価格は2016年10月現在のものです。これらは予告なしに変更する場合がございますので予めご了承ください。

セキュリティコンサルティング

ISO27001認証取得支援サービス

ITが現代の企業経営のあらゆる分野に浸透し、企業の重要な経営資源や資産として認識されてきています。
その一方で、コンピュータウィルスや不正アクセス等のセキュリティ対策の不備、震災等自然災害の影響による、機密情報の漏えいやサービスの停止など、事業存続を脅かすセキュリティ関連の事件・事故の危険にさらされています。

ISMSとは、企業組織が一環した方針に沿って一つの仕組みの基で、これらに対応するためのマネジメントシステムを構築し、運用・維持・改善を図ることで、より高いセキュリティレベルの向上を目指すもので、守るべき情報資産について、「機密性」、「完全性」、「可用性」をバランスよく保っていくことが主要なコンセプトとされています。

ISMS認証とは

ISMSは、情報セキュリティ認証制度として、2002年4月から運用が開始されておりましたが、2005年にISO化(ISO27001)され、情報セキュリティの国際規格としての発展が益々期待されています。
また、ISMSは企業の業務単位や部門、事業所単位等で取得することが可能ですので、中長期的計画を踏まえた段階的な構築が可能です。


JIPDEC 情報マネジメントシステム

取得のメリット

  • 個人情報保護体制の構築
  • 個人情報漏えいリスクの減少
  • 第三者認証によるお客様からの信頼獲得と不安解消
  • 第三者認証による取引先の信頼獲得と競合他社との差別化
  • 従業員の意識向上による内部情報漏えいの減少
  • 企業のイメージやブランドの向上

サービスの概要

  • マネジメントシステムの構築やISMS認証取得までの各種支援
  • 個人情報取り扱い上のリスクの分析
  • 社内規程類及び関連ドキュメントのテンプレート一式の提供
  • 従業員教育のための講師派遣や教育テキストの作成
  • 監査・審査等の特別支援サービス

コンサルティングの流れ

プライバシーマーク認証取得支援サービス

2005年4月に個人情報保護法が施行されましたが、その後も個人情報をめぐる事件・事故は後を絶たず、相変わらず企業不祥事の一環として新聞紙上をにぎわしています。また、2015年10月のマイナンバー制度の施行による個人番号と各種情報の連携など、プライバシー保護への対応はより一層求められています。

個人情報保護法は、何をすべきかを示してくれても、どのように対応すべきかは示してくれません。
そこで、企業が個人情報保護に適切な対応・対策を行うための有効的な手段として、プライバシーマーク(JISQ15001)の認証取得があげられます。

企業のコンプライアンス経営を確保するためには、関連する法制度に従っていることを自ら主張し、立証できるだけの論理性と証拠が収集されるマネジメントシステムが求められます。
プライバシーマーク(JISQ15001)に準拠した企業体制の構築と認証取得を行うことによって、貴社の個人情報保護マネジメントシステムが完成し、これらの目標を達成することができます。

プライバシーマークとは

経済産業省の外郭団体である日本情報処理開発協会(JIPDEC)が管理している個人情報の取扱いに関する認定制度であり、個人情報を適切に取扱っている企業を一定基準(JISQ15001規格)で審査・認定し、プライバシーマークの使用を許諾します。
近年の個人情報保護の高まりにより、取得企業は大幅に増加しています。


JIPDEC プライバシーマーク制度

取得のメリット

  • 個人情報保護体制の構築
  • 個人情報漏えいリスクの減少
  • 第三者認証によるお客様からの信頼獲得と不安解消
  • 第三者認証による取引先の信頼獲得と競合他社との差別化
  • 従業員の意識向上による内部情報漏えいの減少
  • 企業のイメージやブランドの向上

サービスの概要

  • マネジメントシステムの構築やプライバシーマーク認証取得までの各種支援
  • 個人情報取扱い上のリスクの分析
  • 社内規程類及び関連ドキュメントのテンプレート一式の提供
  • 従業員教育のための講師派遣や教育テキストの作成
  • 監査・審査等の特別支援サービス

コンサルティングの流れ

情報セキュリティ監査

高度情報通信ネットワーク社会の進展に伴い、広い範囲で電子化による利便性の恩恵を受ける事が可能となりました。便利な社会となった反面、電子化により増え続ける個人情報を含む情報資産に対する、セキュリティ対策も意識されるようになりました。様々な脅威から情報システム含む情報資産全体を守るためには、一定基準以上のセキュリティレベルを効果的に確保しているかどうか、第三者の専門家による情報セキュリティ監査が必要となります。

当社では、情報マネジメントシステムの構築だけでなく、組織全般を対象とする情報セキュリティ監査も行っています。

情報セキュリティ監査を実施することにより、現状のセキュリティ対策や運用状況を把握することが可能です。
また、経済産業省の管理基準により評価を行うため、明確な改善点を見出すことができます。
PDCAサイクルを実施し改善を継続することで、情報セキュリティレベルの向上と維持を実現させていきます。

情報セキュリティ監査とは

民間企業・政府・地方自治体等の情報セキュリティレベルを第三者により評価し、把握・向上することを目的として、2003年4月に経済産業省により施行された情報セキュリティ監査制度であり、情報システムはもちろん情報資産全体のセキュリティを定められた基準により監査します。
情報セキュリティ監査企業台帳に登録される専門機関により監査が行われます。

サービスの必要性

  • セキュリティ対策・運用状況における現状の把握・改善
  • 管理基準との差異の確認
  • 情報セキュリティにおける体制とノウハウの確立
  • 情報システムおよび情報リスクの適切な管理
  • 顧客および取引先への説明責任

サービスの概要

  • 監査計画の作成
  • 現場視察・ヒアリング
  • 実施状況の点検・評価
  • 監査報告書の作成、監査報告会の実施
  • 改善支援

監査の流れ