TrustShelter/ST

近年のサイバー攻撃と、脆弱性対策の必要性

Webサイトの脆弱性対策は万全ですか?

市場の変化が激しい今日、ビジネススピードの加速とそれに連動した迅速な情報システムの対応が求められています。
一方、インターネットを経由したサイバー攻撃は高度化・多様化し続けており、これまで以上に外部公開サイトを中心とした情報システムのセキュリティ対策強化が求められています。
特に近年では、新たな脆弱性が出現する頻度も高まっており、日々脅威が増大する中で、変化する情報システムのセキュリティ脆弱性をタイムリーに診断し、迅速なセキュリティ対策を施して、安全性を維持していくプロセスの確立が必要になってきています。

TrustShelter/STの特長

インターネットに公開されているサーバの脆弱性を診断し、対策案を提案します。
近年のサイバー攻撃手法やソフトウェア脆弱性の観点からWebサイトのセキュリティを幅広くにチェックします。
また診断メニューとして、診断ツールによる「ライト」と、診断ツールと手動による「アドバンスド」の2種類のメニューをご用意しております。

NEW

お客様が必要な時にその場で簡易にWebアプリケーションのセキュリティ脆弱性を自動診断できる「Webセキュリティ診断ライト」に加え、この度、OSやミドルウェアを対象とした「プラットフォーム診断ライト」をご用意しました。
Webアプリケーションに加え、プラットフォームの脆弱性診断も可能となり、より幅広いセキュリティ診断が可能となります。

サービスイメージ

  • お客様のご要望やWebサイトの特性に合わせたWebセキュリティ診断メニューをご提案します
  • 診断結果に合わせて、脆弱性への対策案もご提案します
  • 最新の脆弱性対策はもちろん、経験豊富なセキュリティ専門家のノウハウもWebセキュリティ診断に反映しています

※製品名であるTrustShelter/STのSTは、Security Testingの略です。

TrustShelter/STのサービスメニュー

Webセキュリティ診断

Webアプリケーションに特化したセキュリティホールをチェックします。

診断対象 Webサーバ上のWebアプリケーション
診断方法 Webセキュリティ診断ライト
お客様が設定した日時に基づき、インターネット回線より対象Webアプリケーションに対し、診断ツールで自動実行します
「ライト」の全診断項目を実施する「スタンダード診断」とお客様が診断項目を選択できる「セレクト診断」があります

Webセキュリティ診断アドバンスド
弊社のセキュリティ専門家が、インターネット回線より対象Webアプリケーションに対し、診断ツールや手動検査を実行します
インターネット回線より対象Webアプリケーションを診断する「リモート診断」と、お客様のネットワークに診断用のコンピュータを接続して診断する「オンサイト診断」があります
検査概要(※)
検査項目検査観点診断種類
ライトアドバンスド
ファイルアップロード 意図しないファイルアップロードが可能になっていないか
内部データ/ログデータ露出 内部データやログなどが外部に露出していないか
設定ミス/デフォルトデータ露出 設定ミスや不要なデフォルトファイルがないか
情報公開 意図しないデータが公開されていないか
XSS/Script/HTMLインジェクション 各インジェクションが可能な状態になっていないか
ディレクトリトラバーサル 任意のディレクトリやファイルが
  • 外部から参照可能な状態になっていないか
DoS攻撃 DoS攻撃を受ける脆弱性がないか
コマンドインジェクションおよびリモートシェル 外部からコマンド等が実行できる状態になっていないか
SQLインジェクション SQLインジェクションが可能な状態になっていないか
認証迂回 認証を迂回してアクセス可能なルートがないか
リモートファイル流入 外部からプログラムファイルを流入される可能性がないか
クロスサイトリクエストフォージェリ(CSRF) CSRFを可能にする状態になっていないか
未検証のリダイレクトとフォワード 意図しないリダイレクトやフォワードが可能になっていないか
セッション管理 セッション管理の問題(セッションハイジャック等)がないか
通信の暗号化/証明書の不備 通信の暗号化や証明書に不備がないか
バッファオーバーフロー バッファオーバーフローが可能な状態になっていないか
XML/SSI/XPath/XQueryインジェクション 各インジェクションが可能な状態になっていないか
LDAP/MXインジェクション 各インジェクションが可能な状態になっていないか

※診査概要が同じでも、実際の診断内容は、「ライト」と「アドバンスド」で異なります。「ライト」では、診断ツールによる定型の診断内容になりますが、「アドバンスド」では、診断ツールによる定型の診断内容に加え、お客様のWebサイトに合わせた手動による診断内容も含みます。

プラットフォーム診断

インターネットに公開しているサーバ(Webサーバ含む)やネットワーク機器のセキュリティホールをチェックします。

診断対象 インターネットに公開しているサーバやネットワーク機器
診断方法 プラットフォーム診断ライト
お客様が設定した日時に基づき、インターネット回線より対象サーバやネットワーク機器を診断ツールで自動実行します

プラットフォーム診断アドバンスド
弊社のセキュリティ専門家が、診断ツールや手動検査を実行します
インターネット回線より対象サーバやネットワーク機器を診断する「リモート診断」と、お客様のネットワークに診断用のコンピュータを接続して診断する「オンサイト診断」があります
検査概要(※)
検査項目検査観点診断種類
ライトアドバンスド
OSの脆弱性 OSに脆弱性がないか
ミドルウェアの脆弱性 ミドルウェアに脆弱性がないか
アプリケーションの脆弱性 アプリケーションに脆弱性がないか
データベースの脆弱性 データベース自体や運用管理(アカウント管理、ログ管理等)上の
脆弱性がないか
バックドア バックドアが仕込まれていないか
ウイルス感染 ウイルスに感染していないか
サンプルスクリプトの有無 不要なサンプルスクリプトが存在していないか
証明書の有効性 証明書が無効化(有効期限切れ/失効など)されていないか
推測可能なパスワード 安易なパスワードを設定していないか
通信の盗聴可否(暗号化) 通信の暗号化に不備がないか
第三者中継(SPAM) 第三者中継が可能になっていないか
DoS攻撃
※オプションサービス
DoS攻撃を受ける可能性がないか

※診査概要が同じでも、実際の診断内容は、「ライト」と「アドバンスド」で異なります。「ライト」では、診断ツールによる定型の診断内容になりますが、「アドバンスド」では、診断ツールによる定型の診断内容に加え、お客様のWebサイトに合わせた手動による診断内容も含みます。

TrustShelter/STの価格

価格はこちらのページをご参照ください。


※TrustShelter は、NTTソフトウェア株式会社の登録商標です。
※その他の会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
※当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します(MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ