SERVICE &
SOLUTIONS
サービス一覧
脆弱性診断とは
脆弱性診断とは社内ネットワーク、OS(Windows、Linux等)、ミドルウェア(Webサーバー、アプリケーシ ョンサーバー、データベース管理サーバー等)、Webアプリケーション(Word Press等のCMS)などに脆弱性がないかを診断することです。サイバー攻撃から個人情報、機密情報、WEBサービスを守るためのセキュリティ対策を実施するためには、まずセキュリティの問題点(脆弱性)を見つけることが必要になります。
脆弱性のあるところをそのまま放置していると、会社に甚大な損害をもたらすサイバー攻撃を食らったり、マルウェアやファイルの改ざん等で情報漏洩が発生する危険性があります。これらの脅威から会社を守るためには、定期的に脆弱性診断を行い、脆弱性やリスクを改善していくことが必須です。
WEB・NWセキュリティ診断/侵入テストサービス
私たちも定期的に健康診断を実施することで、大病を防いだり、病の芽が小さなうちに対処するように、会社のシステムも健康診断を行う必要があります。その代表的な方法が脆弱性診断やペネトレーションテストといわれるものです。 一度、被害を受ければ会社に甚大な損害をもたらすサイバー攻撃。その手口も日々進化しています。これらの脅威から会社を守るためには脆弱性やリスクを回避・軽減していくことが重要で、定期的な脆弱性診断によりセキュリティ環境を改善していくことが必須となります。
事前ヒアリング
脆弱性診断の対象となるシステムやネットワークの構成、ログ取得状況等をお聞きして、効果的な診断となるようにシナリオを作成します。
対象システムへの疑似攻撃(ペネトレーションテスト)
シナリオ計画に基づき、貴社のシステムに無害な疑似攻撃を実施したり、ネットワークからの侵入を試みて、脆弱性や潜在リスクを収集します。
報告書提出
診断結果について、対応策を含めた報告書を作成いたします。また、必要に応じて報告会も実施いたします。
【検査内容の一例】
- Java,PHP,Perl,Rubyなどで開発されたWebアプリケーションに対して検査を行います。
- ネットワークを経由してサーバ、ルータ、ファイアウォール、VPN装置などのネットワーク機器に対して検査を行います。
- ハッカーと同等の疑似攻撃をして「侵入テスト」を行います。ネットワーク診断とWEBアプリケーション診断に加えて、カスタム擬似マルウェアを配置したAPT攻撃を実施することで、社内外のサーバの脆弱性を発見していきます。
アスエイト・アドバイザリーの「自己脆弱性診断(ASVD)」
一般的に、脆弱性診断は診断の都度コストがかかってしまいます。
コストを下げながらもセキュリティを強化できるよう、アスエイト・アドバイザリーでは「自己脆弱性診断(ASVD)」を提供しています。自己脆弱性診断(ASVD)を導入すれば、自社内でいつでも診断をすることができます。また、脆弱性診断ツールの提供だけではなく、セキュリティエンジニアが貴社を全面的にバックアップいたします。メンテナンスは弊社が実施するため、常に最新の脆弱性情報を使用し、潜在的な脅威を発見することが可能です。
【メリット】
- 知識ゼロでも安心できる簡単な操作性とチャットによる質問対応!
- 圧倒的なコスト削減を実現!
- 広域な診断範囲、50項目以上が診断可能!
- インシデントに強いセキュリティベンダーが在籍
脆弱性診断の会社も使用しているツールを活用しながら「いつでも診断できる環境」を提供。操作は非常に簡単で、「ASVD」にアクセスし「診断実行」ボタンをクリックするだけ!画面操作や診断結果などで分からないことがあれば、チャットを使用して何度でも質問することが可能です。
また、「ASVD」は単なる脆弱性診断ではなく、弊社がお客様と並走して実施する診断サービスです。診断会社に作業を丸投げする一般的なサービスとは異なり、ツールの部分をオープンにしています。お客様が活用することによって、診断会社に丸投げではなくなるのでコストが抑えられます。
診断可能な範囲は広域にわたり、50項目以上の診断が可能です。
【診断範囲(一部)】
- TCP ポートスキャン、UDP ポートスキャン、ICMP スキャン
- 公開されているシステム
- OSの推測、OSの脆弱性、OSの設定不備
- ミドルウェアの脆弱性 (Web サーバー、SMTPサーバー、SSHサーバー、FTPサーバー等)
- ミドルウェアの設定不備ネットワーク / IoT 機器の脆弱性
- ネットワーク /IoT 機器の設定不備
- パスワード総当たり攻撃(Brute Force)
- DoS 攻撃成功の可能性
- CMS ソフトウェア(含むプラグイン)脆弱性等
そして、弊社には元サイバー捜査官や公認不正検査士などのプロフェッショナル集団が在籍しています。 平時のセキュリティ運用に加えて、インシデント発生時にはデジタル・フォレンジック調査の専門家が 原因と被害範囲を特定し、かつ再発防止策の提案・構築を実施します。
セキュリティインシデントを早期に発見
ログ監視サービス
日々進化し巧妙化するサイバー攻撃や内部不正・犯行など、組織をとりまく脅威、セキュリティインシデントや事件事故の発生はこれからも増加すると考えられています。 このようなサイバー攻撃や内部不正などは、事前に犯行の兆候がある場合が多く、通常とは違ったオペレーションによる異常検知や、侵入記録、イベントのログ収集を分析することで、悪質な攻撃にいち早く気付き、対策を打つことが可能です。 しかし、全てのログを収集し、分析するには膨大な作業量となり、かつ、分析するに専門の知識や判断力が必要で、様々な業務に追われる組織の中で、専任のエンジニアを配置することは困難だというお声をお聞きします。
アスエイトでは、お客様に代わって様々なシステムログを収集し、専任のセキュリティエンジニアが分析することで、異常があった際のお客様へのご連絡、そして対応等のアドバイスを行っています。社内訓練支援・各種教育・研修サービス
セキュリティに強くなると日常業務の作業効率も上がります!
今後の企業における働き方のスタイルとしてテレワークは日常のスタイルとして確立されていくでしょう。 しかし、ネットワークに潜むマルウェアの様に、様々なリスクと脅威から組織を守るには、組織に属する一人ひとりのITリテラシー向上と定期的なセキュリティ訓練が欠かせません。標的型攻撃対策訓練支援、情報セキュリティ研修、その他、テレワークやITリテラシー・オフィス能力向上研修まで、質の高い研修をオーダーメイドのカリキュラムにてご提供いたします。
標的型攻撃対策訓練支援
攻撃者が、組織内の特定の情報を狙って行うサイバー攻撃の一種で、標的型攻撃による情報流出は、組織における情報セキュリティの脅威のトップとなるなど、近年最も注目され対策を要するものとなっています。 これら脅威に対応する力を確実に身につけて頂くため、アスエイトでは、「安全な」疑似攻撃を貴社に向けて実施する体験型訓練をご提供いたします。 訓練の効果を図り、結果のレポートの作成までワンストップで実施いたします。
情報セキュリティ対策研修
情報漏えいは外部からの攻撃だけに限定されず、組織内部の不正や人的ミスによる割合が原因の50%以上を占めます。 出典:「 2018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編~ 」より(日本ネットワークセキュリティ協会) 情報漏えいは、一瞬にして拡散し、一度拡散した情報は全て削除することは不可能に近いという、とても恐ろしい特性を持ちます。 このような被害を避けるためには、管理者のみならず、組織に属する全員が必要なセキュリティの知識をもって正しく行動することが求められます。 アスエイトでは情報セキュリティの基礎知識から、事件事故、ヒアリハット事例を踏まえて日常業務に潜む危険とその対応について研修を実施いたします。
カリキュラム例
① 最新のセキュリティ動向 / ② 情報セキュリティとは / ③ 日常業務のセキュリティ対策 ④ 情報漏えい時の対応 / ⑤ セキュリティの心構え
テレワーク導入/ITリテラシー向上研修
「テレワークを導入したが、セキュリティ対策が不安」 「テレワークを導入したいが、何をしたら良いかわからない」 「仕事の効率や管理が上手くいかない」
このようなお悩みはございませんか。
何となくテレワークのシステムを導入していると個人情報や機微な情報の流出など、重大な事件事故に発展するおそれがあります。 実際に家庭のネットワーク環境からマルウェアに感染し、情報漏えいに発展した事例も発生しています。アスエイトでは、様々なセキュリティインシデントを扱った経験をもとに、円滑で安全なテレワーク業務が行えることを目標に研修を実施いたします。 本研修では、基本的なコミュニケーションツール(お使いのツールに合わせてカリキュラムを作成いたします)の使い方から、OA基礎にいたるまで、ITリテラシー能力の底上げを図りながら、管理者、従業員それぞれが、効率的にかつ安全にテレワークを実施できるカリキュラムを提供いたします。
セキュリティを学び身につけるには、ITリテラシーの向上は必須不可欠ですが、普段の業務に直結する内容を学ぶことで、リテラシーは自ずと向上します。また、新たなツールや技術を学ぶことで業務効率の改善が図られるなど、組織にとっても、個人にとっても、良い結果をもたらすでしょう。 アスエイトでは、OA基礎に特化した基礎から情報管理者養成のための研修まで幅広く研修を実施しています。 まずは、ご相談ください。
【研修内容一部ご紹介】
OA基礎
- タイピング能力向上
- OFFICE能力向上 (EXCEL、WORD、PowerPoint)
情報管理者養成
- IT基礎
- アルゴリズム
- プログラミング基礎
- デジタルフォレンジック基礎 他