コンピュータの脆弱性診断

インターネット経由で企業ネットワークに侵入・攻撃する技術は日々刻々と変化しているため、最新技術による攻撃に対する脆弱性の存在、および適切な対策を定期的に把握しておくことが重要です。
あらた監査法人では、最新の技術・手法による脆弱性診断サービスを提供しています。

サービス内容

• 外部(インターネット)からの不正侵入・攻撃に対する検知、遮断機能評価
• セキュリティホールなど外部接続システムにおける脆弱性検証
• サービス妨害(DoS)攻撃に対するシステム耐久性および業務継続性の評価
• ネットワーク情報流出防止機能の評価

脆弱性診断アプローチ

攻撃対象調査(フットプリンティング)

攻撃対象となる社内システムについて、ネット上から以下の調査作業を行うことにより、インターネット接続に関する情報を収集します。

• 公開情報による社内サイトの調査
• IPパケット追尾によるネットワークトポロジーの調査、特定
• Ping、ポートスキャニングによるシステム稼動状況の調査
• 稼働中ポート接続による、OSおよびアプリケーションの特定

侵入テスト

調査にて取得した情報を基に、実際の侵入者の手口を模倣してシステムへ侵入し、データパケットの盗聴および重要データファイルへのアクセスを試み、セキュリティホールの有無ならびにその悪用により可能となる行為を徹底的に検査します。

• ログインアカウント・パスワード取得　→　管理者権限を奪取可能か？
• セキュリティホール発見　→　社内LAN、データベースなどへ侵入可能か？
• 重要データファイルへのアクセス、改ざんが可能か？

この検査では、主として2つ以上の最新バージョンのセキュリティ検査ツールを使用します。これらは、ネットワークセキュリティの脆弱性評価を行う上で必要な機能をほぼ網羅した高性能自動ツールであり、世界的に最も高い評価を得ています。
また、上記に加えて、ウェブサイト上で公開されている各種ツールおよびPwC独自ツールの使用（月次以上のペースで更新）、さらに手動操作によるセキュリティホール検査を実施します。

DoSテスト

システムに対して大量のデータパケットを送信するDoS攻撃を行い、システムのDoS攻撃に対する防御機能、および攻撃発生時のサービス継続可否を検証します。

報告

全てのテスト終了後、テスト実施結果として確認されたセキュリティホール、およびそれらについて推奨される対策に関するレポートを提出します。このレポートは、テストの実施により判断される現行のセキュリティ対策の適正性・妥当性について評価を行い、リスクが高いと思われる項目から優先して実施すべき改善策を提案する内容となります。

レポート主要記載項目（例）

• 総評
• 個々のテスト結果および確認されたセキュリティホール
• 脆弱性に関するセキュリティ上の見地からの指摘およびリスクの度合い
• 上記指摘事項について推奨される対策