NECセキュリティ
Breadcrumb navigation
ネットワークセキュリティ診断
社内のシステム・ネットワークの脆弱性を調査し、対策を取るサービス概要
既存システムおよび新規構築のシステムや、テレワーク環境などの脆弱性への懸念の解消のために、ネットワークセキュリティ診断は、さまざまなネットワーク環境(IPv4、IPv6、インターネット、社内ネットワーク)からの攻撃を想定し、ネットワーク越しに対象システム(サーバ、ネットワーク機器など)の状態(強度等)やシステムに潜む脆弱性などの問題点を洗い出し、必要な対策をご提案するサービスです。
サービスの特長
ポートスキャンや脆弱性スキャンといった「ツール診断」により、サーバやネットワーク機器をはじめとしたシステムに対して、効率的に稼動サービスや既知の脆弱性を洗い出します。加えて、「マニュアル診断」により、ツール診断により検出された問題の妥当性確認やツールでは検出できないような問題を専門家が手動で検査し、対策案を提示します。
対象機器や装置
稼働中及び新規構築システムのサーバ、ネットワーク機器、VPN装置
実施環境
2つの環境からお選びいただけます。
- インターネット経由のリモート診断
- お客様オフィス(データセンター等を含む)に訪問し、現地にて実施するオンサイト診断
ネットワークセキュリティ診断実施により明確になるセキュリティ懸案事項
- 各種ネットワークサービスに対する既知の脆弱性
- システム情報の露呈
- レガシーなプロトコルやアルゴリズムの利用
- アクセス制御の未実装
- 既知の脆弱性のあるコンポーネントの利用
- 初期パスワード等、推測が容易なパスワードの設定
診断項目
| 項目 | 概要 |
|---|---|
| ポートスキャン | ネットワーク越しにアクセス可能なオープンポートを特定します。 |
| 安全でないサービス | TelnetやFTPなど、現在は安全とみなされていないレガシーサービスが稼働しているか、あるいは、安全でないオプション設定がされているかを確認します。 |
| 安全でない暗号通信 | 安全でない暗号プロトコル(SSLv3など)、アルゴリズム(DESなど)の選択が可能か確認します。 また、SSL/TLS証明書の署名アルゴリズムの安全性や有効期限などを確認します。 |
| 製品固有の既知の脆弱性 | 製品固有の既知の脆弱性(MS17-010など)を確認します。 ※ 0デイの脆弱性が検出されることもあります。 |
| 不適切なアクセス制御 | サービス自体や、製品の機能について、適切なアクセス制御が実装されているかを確認します。 |
| 不十分なユーザー認証 | 推測が容易なパスワードが設定されているか簡易的に確認します。(ヌル、デフォルトパスワードなど) |
| 情報の露呈 | ユーザーやシステムの不本意な情報の露呈があるか確認します。 |
- ※上記診断項目は通常サービスの一例です。診断項目、手法は日々発見されている脆弱性、攻撃手法を収集、分析し、NECセキュリティの独自診断に追加されています。
ネットワークセキュリティ診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※ 画像をクリックすると情報セキュリテイ基準審査登録制度サイトに遷移します。
情報セキュリティサービスマークについて
導入フロー
| 1 事前打ち合わせ |
|
|---|---|
| 2 診断実施 |
|
| 3 報告書作成 |
|
| 4 報告会実施 |
|
- ※サービス申込み時に機密保持契約を締結します。
- ※報告書提出から2週間、Q&A対応期間を設けています。