近年、テレワーク化や、DXの推進などのデジタル化が進んだことにより、かつてないほどサイバー攻撃のリスクが高まっています。日本国内でもシステムの脆弱性を悪用されたことによるサイバー攻撃の被害が多数報道されており、脆弱性の発見と適切な対策実施の重要性はますます高まってきています。

脆弱性診断の必要性とは？

　セキュリティ製品で保護策を講じていてもシステムに脆弱性が存在すると、セキュリティ製品を突破された場合や、別の経路で内部に入り込まれたときに被害が拡大するおそれがあります。そのため、セキュリティ製品の有無に関わらず、システムの脆弱性を洗い出し、対策を行うことは非常に重要です。


　脆弱性診断の結果をもとにシステムの脆弱性対策をした上で、セキュリティ製品を利用することで、さらに安全なサービス提供とセキュリティインシデントの防止につなげることができます。

CTCのプラットフォーム脆弱性診断エクスプレスは、従来のプラットフォーム脆弱性診断をベースにしながらも、より速く、よりリーズナブルにご利用いただける脆弱性診断サービスです。

各種サーバやネットワーク機器に対し、OSやミドルウェアによるネットワークサービスの設計や設定、稼働バージョンに起因する不正侵入や情報漏えい、サービス不能攻撃に悪用可能な脆弱性を洗い出し、対処策・改善策をわかりやすくまとめた報告書としてご提示します。

以下のような状況にお困りではないですか？

• 関連会社でセキュリティインシデントが発生、急ぎグループ全体のプラットフォーム脆弱性診断を実施しなければならない
  
  
• 開発中のシステムでスケジュールの都合上、テストフェーズの短い期間で診断から修正作業までを完了しなければならない
  
  
• 四半期に一度の脆弱性診断に掛かる診断期間、コストともに削減する必要ある
  
  
• プラットフォーム脆弱性診断を実施したくても期間や予算の都合から実施できていない

プラットフォーム脆弱性診断エクスプレスは、ツールでの診断を主体としながらも、サービスの稼働状況やパッチの適用状況、設定不備など、一般的なプラットフォーム脆弱性診断で求められる診断項目は十分に網羅した診断を短期間、低価格で実施します。

1. 短期間で診断を完了

• プラットフォーム脆弱性診断エクスプレスでは、1日あたりの診断実施対象数、報告書ご提出までの日数ともに従来のプラットフォーム脆弱性診断と比較して大幅に短縮されています。そのため、リリース直前の短期間での診断にも対応することが可能となっています。

2. リーズナブルな価格体系

• ツールを主体とした診断に分析・報告書作成の最適化により、従来のプラットフォーム脆弱性診断と比較してリーズナブルな価格体系となっています。この特徴は対象数が多くなるとさらに顕著に表れてきます。そのため、予算との兼ね合いで診断対象を限定しなければならない場面も少なくなります。

3. 実績豊富なCTC診断知見により脆弱性を的確に報告

• これまでCTCの幅広い業種・業態のお客様に対して多種多様なITシステムの脆弱性診断を実施してきました。これらの豊富な診断知見を盛り込んだ報告書により、脆弱性の解説や推奨対策を的確に報告します。

これらの特長から、プラットフォーム脆弱性診断エクスプレスは、以下のようなお悩みを持つお客様に最適なサービスです。

• 予算との兼ね合いで一部しか脆弱性診断を実施できていない
• システムリリース直前のため、従来の脆弱性診断では間に合わない
• 自社のシステム全体を診断したいが、時間が掛かりすぎてしまう
• 脆弱性診断ツールが出力した報告書では対応できる自信がない
• 脆弱性診断を実施したことがない

本サービスは、次の5つのステップで進んでいきます

1. 本ページの「お問合せ」フォームから、対象の台数、ご希望の診断時期、診断方式をご連絡いただきます。
   
   
2. 弊社担当者より必要に応じてサービスのご説明、ヒアリングをさせていただき、お見積をご提出します。
   
   
3. お見積や契約内容をご確認いただきお申込みいただきます。
   
   
4. 診断ツールにより診断を実施し、脆弱性を検出します。
   
   
5. 脆弱性の有無と概要、想定されるリスクや対策方法を記した報告書をご提出します
   
   

※ 所要日数は診断対象数や作業条件によって異なります 

● 対象機器に対してツールによる脆弱性診断を実施

診断対象は、DNSサーバ、メールサーバ、ディレクトリサーバなどのネットワークを経由してサービスを提供するサーバ、ルータ、ファイアウォール、及びVPN装置などのネットワーク機器に対して診断を行います。

診断方式は、CTCの診断環境からインターネット経由で診断するリモート診断と、診断員がお客様拠点に伺い、システム内部から診断するオンサイト診断のいずれにも対応しています。

また、ご希望に応じて次のような対応も可能です。

• 実施計画説明会
  診断作業実施前に、診断実施計画をまとめた実施計画書を作成し、計画説明会を行います。
  
  
• 報告会
  事前に提出した診断結果報告書を基に、実際に診断を実施した診断員により、検出した脆弱性や推奨対策をわかりやすく解説します。
  
  
• 改修確認診断
  検出した脆弱性について改修作業を実施いただいた上で、対象箇所に適切な改修が実施されているかの確認を行い、改修確認報告書をご提出します。
  
  
• 夜間・休日診断
  平日日中のシステム利用時間帯を避け、夜間や休日に診断作業を実施します。

● CTCの知見を盛り込んだ報告書をご提出

診断終了翌日から5営業日以内に診断結果報告書を提出します。診断結果報告書には次の内容が記載されています。

• 診断作業情報
  実際の作業日時や診断対象に関する情報を記載します。
  
  
• 総合評価
  脆弱性検出状況から対象システムを5段階で評価した結果を記載します。
  
  
• 診断対象別検出状況
  全体の傾向判断のため、診断対象ごとに脆弱性検出数を危険度別に整理し、グラフと併せて記載します。
  
  
• 検出事項一覧
  検出された脆弱性について、検出箇所、脆弱性の解説、考えられる被害、判断根拠となった応答結果、推奨対策を記載します。
  
  
• オープンポート一覧
  診断対象ごとに診断作業にて確認できたオープンポートを一覧で記載します。

業種を問わず様々な企業にプラットフォーム脆弱性診断エクスプレスをご利用いただいています。

● 金融業 – 情報システム部門 – ご担当者様

• 関連会社でセキュリティインシデントが発生したため、急ぎグループ全体のプラットフォームについて脆弱性診断を実施しなければならなくなったものの、実施期間の問題から対応に苦慮していた。
• プラットフォーム脆弱性診断エクスプレスを利用したことにより、想定よりも大幅に短期間で網羅的な診断を完了することができ、適切なセキュリティ対策を実施することができた。

● ITサービス業 – 開発部門 – ご担当者様

• 開発中のシステムにて、スケジュールの都合上、テストフェーズの短い期間で診断から修正作業までを完了する必要があった。通常の脆弱性診断サービスを検討していたものの、診断対象数の多さと掛けられる期間の短さから利用できるものが見つからなかった。
• プラットフォーム脆弱性診断エクスプレスでは準備前に開発会社に確認することもなく、診断結果も分かりやすかったため短期間で完了できて良かった

● 小売業 – 情報システム部門 – ご担当者様

• Web大規模なECサイトでPCIDSSを取得しているため、四半期に一度の脆弱性診断に掛かる期間やコストが運用上の大きな課題だった。
• プラットフォーム脆弱性診断エクスプレスを利用したことにより、診断期間、コストともに削減することができたため、PCIDSS運用の負担を軽減することができた。

● FW等のセキュリティ装置で守られているので、内部の脆弱性診断は不要ですか？

• システム内部の脆弱性が放置されていると、何らかの形で一度内部に入り込まれた場合、次々に侵害範囲が拡大してしまうおそれがあります。
• そのため、たとえ直接インターネット経由でアクセス出来ない機器であっても脆弱性対策は必要となります。

● 本番環境しかないが、診断可能ですか？

• 本番環境でも診断可能です。
• 診断対象に対し意図的に負荷を掛けるような作業は実施いたしません。
• ログイン機能のロックアウト等が懸念される場合には、事前にお申し出いただくことにより柔軟に対応可能です。

● 報告会後の問合せはいつまで可能ですか？

• 報告会終了後、３か月程度は対応させていただきます。
• 内容によって回答までにお時間いただくことがございます。あらかじめご了承ください。

● クラウド環境での診断は実施できますか？

• 対象のクラウド形態がIaaSやPaaSであれば診断可能です。