SHIELDセキュリティ診断サービス
(旧SHIELDeXpressセキュリティ監査診断サービス)
|
 |
|
お客様のネットワーク・システムやWebアプリケーション、ソフトウェアに対して、日立情報システムズの専門家がセキュリティ診断を行います。
■お知らせ■
- ソースコードに潜む脆弱性を診断する「ソースコード診断」を開始しました。<2008.7.8>
|
近年、外部攻撃の高度化、内部からの情報漏えい増大による企業活動・企業ブランドのダメージが脅威となっている中、一定のセキュリティレベルを確保し続ける事が困難となっています。本サービスでは、事業継続の必須要件となっているセキュリティレベル確保の支援を行います。
各種サーバなどに潜むセキュリティホールを専門家(ツール)による診断で洗い出し、対策方法の提示までを支援します。ブラックボックステスト※を行い、コンテンツの利用目的に関わらず、検出されたセキュリティホールの深刻度を評価、ご報告します。
※システム内部の処理動作はチェックせず、外部から見た機能(さまざまな入力に対しての出力結果)を確認するテストです。
-
このようなお客様におすすめです / サービスメニュー
- サーバ管理を担当する情報システム部門の方には・・・「ITインフラ診断」
- 公開Webサーバの管理部門やWebアプリケーション開発会社の方には・・・「Webアプリ診断」
- アプリケーション開発担当の方には・・・「ソースコード診断」
【特長1】
お客様のニーズに
柔軟に対応 |
診断ツールを駆使した自動診断による網羅的な診断実施や、手動診断を実施してより詳細に調査をすることが可能です。お客様の要件に合わせた細かなサービスをご提供します。 |
【特長2】
最新セキュリティホール
への対応 |
CERT、BugTraq、 SecurityFocusなどのセキュリティ情報を基に独自調査を行い、 該当するセキュリティホールを検出するアタックテストパターンを迅速提供します。 (重大なセキュリティホールに関しては、原則として1日もしくは2日以内に提供) 日々、最新状態に更新されるknowledge baseを利用して診断を行うため、セキュリティホールへの早急な対応が必要なインターネットサイトの診断に最適です。 |
【特長3】
問題点がわかりやすい
レポート提示 |
検出した脆弱性の説明・起こりうる危険性・対策方法を詳細に記載し、報告書として提示します。脆弱性の危険度に応じたレベル付けを行うため、 危険性の高い項目に対して優先しての対策実施が可能です。 |
|
米Qualys社QualysGuardを用いて、各種サーバに対するセキュリティホール診断を行います。サーバのパッチ適用状況や、ファイアウォールの設定不備などの検出が可能です。当社専門家による診断で検出された脆弱性と対策方法をご報告します。
※サービスグレード有り。
|
 |
さらに、診断日時などをお客様自身で設定、診断を実施いただく「セルフ診断サービス」もございます。診断結果はWWWサイトに掲載されますので、お客様自身でご確認いただけます。
※サービスグレードなし。
IBM社Rational®AppScan®を用いて、Webアプリケーションに特化した診断を行います。SQLインジェクション、クロスサイトスクリプティングなど、Webアプリケーションに潜在しやすいセキュリティホールの検出が可能です。さらに検出された脆弱性と対策方法をご報告します。
※サービスグレード有り。
診断ツール「FORTIFY SCA」を使用してソフトウェアのソースコードを多角的に分析し、ソースコードに潜む脆弱性などを診断します。また、多くのプログラム言語に対応が可能です。
(対応言語:C/C++、JAVA、JSP、C#、VB.NET、ASP.NET、ColdFusion、SQL、PHP、JavaScript、SAP、COBOL)
|
(1) リモート診断
|
外部に公開されたサーバなどに対し、脆弱性の有無を診断することが可能です。 |
|
(2) オンサイト診断
|
イントラネットサーバなどに対し、脆弱性の有無を診断することが可能です。
|
ソフトウェアのソースコードに潜む脆弱性の有無を診断することが可能です。
また、診断場所については、お客様の環境で作業を行うか、ソースコードをお預かりし日立情報システムズの環境で作業を実施するかを選択できます。
-
サービスグレード (ITインフラ診断 / Webアプリ診断)
お客様の要件に合わせた細かなサービスをご提供します。「ITインフラ診断」「Webアプリ診断」ともに、クイック、スタンダード、エンハンスドの3タイプをご用意しています。
●クイック(簡易版):診断ツールによる網羅的な脆弱性診断を行います。スピードを重視した簡易版サービスです。
●スタンダード(標準版):診断ツールによる網羅的な診断に加え、当社専門家による診断ノウハウを用いて総合的な診断を行います。
●エンハンスド(拡張版):スタンダードにプラスして、複数ツールによる多角的な診断と、検出された脆弱性から侵入テストを行います。
| サービス内容 |
クイック
<簡易版> |
スタンダード
<標準版> |
エンハンスド
<拡張版> |
|
標
準
提
供
|
診断ツールによる
脆弱性調査 |
○
|
○
|
○
|
|
当社専門家による
手動調査
|
−
|
○
|
○
|
調査結果の妥当性
確認、総合評価 |
−
|
○
|
○
|
複数診断ツールに
よる脆弱性調査 |
−
|
−
|
○
|
| 侵入テスト |
−
|
−
|
○
|
|
診断報告書
(提出までの期間)
|
○
(1週間〜)
|
○
(3週間〜)
|
○
(4週間〜)
|
|
診断報告書に対する
お問い合わせ
(Eメールにて5回まで)
|
−
|
○
|
○
|
|
オ
プ
シ
ョ
ン
提
供
※
|
診断結果報告会 |
−
|
○
|
○
|
|
オンサイト診断
(通常はインターネット
によるリモート診断)
|
−
|
○
|
○
|
| 夜間診断 |
○
|
○
|
○
|
| 休日診断 |
○
|
○
|
○
|
|
診断速報
(検出された脆弱性名のみ)
|
−
|
1週間〜
|
2週間〜
|
|
電子データでの
報告書提出
(CD-ROM提出)
|
○
|
○
|
○
|
|
※オプション費用は別途必要になります。
|
| サービス名 |
価 格 |
| ITインフラ診断 |
クイック−スポット1回(1IP)※1 |
72,450円〜
(税別69,000円〜)
|
|
スタンダード−スポット1回(1IP)※1
|
120,750円〜
(税別115,000円〜)
|
| エンハンスド−スポット1回(1IP)※1 |
241,500円〜
(税別230,000円〜)
|
| (2IP以上) |
個別見積
|
| セルフ診断 |
年間−回数無制限(3IP) |
661,500円〜/年
(税別630,000円〜/年)
|
|
(4IP以上)
|
個別見積
|
| Webアプリ診断 |
クイック−スポット1回(1URL)※2 |
672,000円〜
(税別640,000円〜)
|
|
スタンダード−スポット1回(1URL)※2
|
840,000円〜
(税抜800,000円〜)
|
| エンハンスド−スポット1回(1URL)※2 |
1,260,000円〜
(税別1,200,000円〜)
|
|
ソースコード診断
|
個別見積
|
|
※1:診断項目、ポートスキャンの実施ポートにより、追加費用が必要になります。
※2:1URL = 1FQDNで特定できる範囲で画面数最大100程度です。ただし、診断項目、画面数、フォーム数により追加費用が必要になります。クイック(簡易版)の場合、1URL 最大30画面を上限とします。
|
-
サービス提供までのフロー (ITインフラ診断 / Webアプリ診断)
スタンダードサービスをご利用時の流れになります。エンハンスドサービスをご希望の場合は、別途ご相談ください。
|
 |
|
※報告会はオプションメニューとなります。
|
※QualysGuardは、Qualys,Incの商標、または登録商標です。
※Rational®AppScan®は、International Business Machines Corporationの商標、または登録商標です。
※FORTIFY SCAは、Fortify Software,Inc.の商標、または登録商標です。
