Webを攻撃されWeb改ざんや情報漏えいなどの被害にあった場合、ビジネスに大きな影響が及ぶ。事業継続の観点からも、一定レベルのセキュリティを確保し続けることが重要になり、そのためには定期的にセキュリティ診断を実施し、企業のインフラやアプリケーションに潜むリスクや脅威を可視化することが有効だという。セキュアブレインは「セキュリティ診断サービス」として、「ITインフラ診断」と「Webアプリ診断」の2種を提供する。
■ITインフラ診断
サーバやネットワーク機器のOSやミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を検査し、対策方法を提示する。「リモート診断」と「オンサイト診断」のどちらか、もしくは両方を選択可能。主な診断項目は次のとおり。
- ポートスキャン調査
- バナー調査
- 脆弱性スキャナによる脆弱性調査
- アカウント調査
- 専門家による手動調査
■Webアプリ診断
Webアプリケーションに対してSQLインジェクションやクロスサイト・スクリプティング(XSS)などの脆弱性を検査し、対策方法を提示する。テキストボックスやラジオボタン、Hiddenパラメータ等の入力パラメータ値を検査用の不正値(シグネチャ)に書き換えてリクエストを送付する擬似攻撃を行い、そのレスポンスの内容から脆弱性の有無を判断する。主な診断項目は次のとおり。
- SQLインジェクション
- クロスサイト・スクリプティング
- クロスサイトリクエストフォージェリ
- OSコマンドインジェクション
- セッション管理の不備
- GRED Web改ざんチェックCloudによるWeb改ざんの有無の検査
