Webを攻撃されWeb改ざんや情報漏えいなどの被害にあった場合、ビジネスに大きな影響が及ぶ。事業継続の観点からも、一定レベルのセキュリティを確保し続けることが重要になり、そのためには定期的にセキュリティ診断を実施し、企業のインフラやアプリケーションに潜むリスクや脅威を可視化することが有効だという。セキュアブレインは「セキュリティ診断サービス」として、「ITインフラ診断」と「Webアプリ診断」の2種を提供する。
■ITインフラ診断
サーバやネットワーク機器のOSやミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を検査し、対策方法を提示する。「リモート診断」と「オンサイト診断」のどちらか、もしくは両方を選択可能。主な診断項目は次のとおり。
- ポートスキャン調査
- バナー調査
- 脆弱性スキャナによる脆弱性調査
- アカウント調査
- 専門家による手動調査
■Webアプリ診断
Webアプリケーションに対してSQLインジェクションやクロスサイト・スクリプティング(XSS)などの脆弱性を検査し、対策方法を提示する。テキストボックスやラジオボタン、Hiddenパラメータ等の入力パラメータ値を検査用の不正値(シグネチャ)に書き換えてリクエストを送付する擬似攻撃を行い、そのレスポンスの内容から脆弱性の有無を判断する。主な診断項目は次のとおり。
- SQLインジェクション
- クロスサイト・スクリプティング
- クロスサイトリクエストフォージェリ
- OSコマンドインジェクション
- セッション管理の不備
- GRED Web改ざんチェックCloudによるWeb改ざんの有無の検査
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア