セキュリティ診断サービス

その脆弱性のお悩みやご不安、
セキュリティのプロが
確実に支援します。

KDDIデジタルセキュリティのセキュリティ診断サービスは
KDDIグループ全体のセキュリティを守り続けてきた確かなノウハウと技術力を
お届けする安心と信頼のサービスです。

安心と信頼 納得の品質

その脆弱性のお悩みやご不安、セキュリティのプロが確実に支援します。

その脆弱性のお悩みやご不安、
セキュリティのプロが
確実に支援します。

安心と信頼 納得の品質

その脆弱性のお悩みやご不安、セキュリティのプロが確実に支援します。

KDDIデジタルセキュリティのセキュリティ診断サービスはKDDIグループ全体のセキュリティを守り続けてきた確かなノウハウと技術力をお届けする安心と信頼のサービスです。

セキュリティ注意報

CAUTION

サイバー空間における不正アクセスや脆弱性の公開件数が年々増加しています。自社のセキュリティレベルを把握し、不正アクセスやセキュリティ事故から守るためにもセキュリティ診断がおすすめです。

サービス詳細資料の
ダウンロードはこちら!

脆弱性やセキュリティの
お悩みやご不安
セキュリティ専門の私たちに
ご相談・お任せください

セキュリティ診断を任されたが、
詳しく分からないのでお任せしたい

新規サービスリリースに向けて
脆弱性を洗い出したい

顧客の要件をクリアできるベンダを
探している

自社のシステムに適切な診断方法を
相談したい

監査対応で早急な実施が必要

安心と信頼の証
KDDIデジタルセキュリティが
提供する3つのメリット

安心の事前相談

merit

01

安心の事前相談

事前に診断対象の選定や
お客様に必要なメニュー選定に関する相談が可能です。

どのメニューを選べばよいのかわからない、どこを診断すればよいかわからないという場合でも、お客様のお話を伺いながら当社専門家が支援します。

信頼のお任せ作業

merit

02

信頼のお任せ作業

お客様の作業に伴う不安、
手間を極力減らしたサービスを提供します。

診断前の準備、診断作業中のお客様委託先システムベンダへの問い合わせなどを支援します。

コストもリーズナブル

merit

03

コストもリーズナブル

お客様が必要とするメニューのみコストをかけられる
選択式メニューもご用意しております。

多彩なオプション体系を準備しておりますので、ご予算に合ったメニューを選択いただけます。

KDDIデジタルセキュリティの
3つのサービスメニュー

Webアプリケーション診断

「Webアプリケーション」に内在する脆弱性やセキュリティ機能の不備を網羅的に洗い出します

主な診断項目

認証
  • 一般ユーザと共通の管理者ログイン画面
  • 脆弱なパスワードポリシー
  • 認証機能の不備
  • シングルサインオン(SSO)認証の不備
  • メール認証機能の不備
認可
  • 強制ブラウジング
  • アクセス制御の不備
セッション管理
  • セッションタイムアウト機能の不備
  • セッションフィクセーション
  • ログアウト機能の不備
入出力処理
  • HTTPヘッダインジェクション
  • LDAPコマンドインジェクション
  • OSコマンドインジェクション
  • SSIコマンドインジェクション
  • SQLインジェクション
  • XML外部エンティティ参照(XXE)
  • オープンリダイレクト
  • クロスサイトスクリプティング(XSS)
  • サーバサイドリクエストフォージェリ(SSRF)
  • パストラバーサル
情報漏えい
  • 重要情報の取扱いに関する不備
  • キャッシュ制御の不備
  • データ暗号化強度の不備
設定の不備
  • Cookie設定の不備
  • サーバ証明書の不備
  • 既知の脆弱性が存在する暗号化プロトコルの使用
  • オリジン間リソース共有(CORS)
  • バージョン情報の検出
  • デフォルトファイルの検出
メール機能
  • メール通知機能の不備
  • メールヘッダ・インジェクション
  • 意図しないメール本文の改ざん
アップロード・ダウンロード処理
  • アップロードファイルの検証不足
  • アップロード機能の不備
  • ダウンロード機能の不備
パスワードリマインダ
  • 不適切な仮パスワード発行
  • 不適切なパスワードリセット
  • 仮パスワードの強度不足
  • 仮パスワード発行時の推奨事項
  • パスワードリマインダ機能の不備
その他、既知の脆弱性
  • HTTPリクエストメソッドに関連する推奨事項
  • HTTPレスポンスヘッダに関連する推奨事項
  • クロスサイトリクエストフォージェリ(CSRF)
  • 不安全なシリアル化オブジェクトの利用
  • その他、既知の脆弱性

以下の検査項目に対応しています。
・ウェブ健康診断仕様
(独立行政法人 情報処理推進機構(IPA))
・OWASP Webアプリケーション検証基準
(OWASP ASVS)(「レベル2(標準)」相当)
・OWASP Top 10 2021
(うちブラックボックステストで検出可能な脆弱性を対象)

プラットフォーム診断

「OS、ミドルウェア」等に内在する脆弱性やセキュリティ機能の不備を網羅的に洗い出します

主な診断項目

ポートスキャン(TCP・UDPスキャン)
稼働サービス情報調査
バナー情報調査
セキュリティパッチの適用不足
デフォルトファイルの存在
サービス妨害攻撃(DoS攻撃)
分散型サービス妨害攻撃(DDoS攻撃)への加担
サーバ設定の不備
メール不正中継(オープンリレー)
FTPサービス脆弱性
SSHサービス脆弱性
Telnetサービス脆弱性
SMTPサービス脆弱
HTTPサービス脆弱性
DCE/RPC、RPCサービス脆弱性
LDAPサービス脆弱性
SMBサービス脆弱性
R系認証サービス脆弱性
RDPサービス脆弱性
データベースサービス脆弱性
DNSサービス脆弱性
NTPサービス脆弱性
SNMPサービス脆弱性
VPNサービス脆弱性
脆弱なSSL/TLS暗号化アルゴリズム・暗号スイート
サーバ証明書の不備
公開が推奨されないファイル・ディレクトリ
サーバ管理機能に対するログイン機能の公開
デフォルト、もしくは推測が容易な認証情報の利用
CMS関連脆弱性
その他、既知の脆弱性

ペネトレーションテスト

内在する脆弱性やセキュリティ機能の不備を突いて、侵入可否や可能性を検査するサービス疑似攻撃を行い、一定期間内で目的を達成できるか調査します

主な診断項目

ポートスキャン(TCP・UDPスキャン)
稼働サービス情報調査
バナー情報調査
セキュリティパッチの適用不足
デフォルトファイルの存在
サービス妨害攻撃(DoS攻撃)
分散型サービス妨害攻撃(DDoS攻撃)への加担
サーバ設定の不備
メール不正中継(オープンリレー)
FTPサービス脆弱性
SSHサービス脆弱性
Telnetサービス脆弱性
SMTPサービス脆弱
HTTPサービス脆弱性
DCE/RPC、RPCサービス脆弱性
LDAPサービス脆弱性
SMBサービス脆弱性
R系認証サービス脆弱性
RDPサービス脆弱性
データベースサービス脆弱性
DNSサービス脆弱性
NTPサービス脆弱性
SNMPサービス脆弱性
VPNサービス脆弱性
脆弱なSSL/TLS暗号化アルゴリズム・暗号スイート
サーバ証明書の不備
公開が推奨されないファイル・ディレクトリ
サーバ管理機能に対するログイン機能の公開
デフォルト、もしくは推測が容易な認証情報の利用
CMS関連脆弱性
リモートコード実行(Remote Code Execution)
侵入後のシステム情報収集
権限昇格
アンチウィルスソフトの制限回避
その他、既知の脆弱性

サービス詳細資料の
ダウンロードはこちら!

ご相談から作業完了まで
2~3週間程度
すぐに結果が出て、
必要に応じた対策等が可能です

※Webアプリケーション診断10アクション、またはプラットフォーム診断10IPの場合の参考日数です。
診断の要件により変動しますので、具体的な作業日数はお問い合わせください。

1週間

01

事前準備

事前準備
  • お問い合わせ、見積ヒアリング
  • お客様サイト巡回
  • お見積り、打合せ、
    スケジュール調整

3営業日程度

02

診断作業実施

診断作業実施
  • 開始終了のご連絡
  • 作業を行う上でのご質問
  • 速報(高危険度の指摘事項のご報告)

5営業日程度

03

結果報告

結果報告
  • 報告書の作成

6営業日目に納品

04

オプション

オプション
  • 報告会
  • 再診断
  • QAサポートの延長

サービスに関わる
よくあるご質問

その他気になる点やご相談は
お気軽にお問い合わせください

  • Q. セキュリティ診断って何ですか?

    A.

    セキュリティ診断によりシステム内に密かに存在する脆弱性を洗い出し、自社システムのセキュリティの問題点を明確にすることで、効率よくセキュリティ対策を実施することが可能です。
    不正アクセスや情報漏えいなどのセキュリティ事故が発生すると、企業イメージやブランド低下にもつながりますので、セキュリティ診断により検出された脆弱性を改修し、セキュリティリスクを低減させることが重要です。

  • Q. セキュリティ診断ってやったほうがいいの?

    A.

    実施することを推奨します。自社システムの脆弱性を確認し対策することでセキュリティ事故を未然に防ぐことに繋がります。

  • Q. セキュリティ診断を行いたいがどこを対象としていいかわからない。

    A.

    お客様の意図に沿った診断が行えるようにご支援しますので、事前ヒアリングの中でご相談ください。

  • Q. セキュリティ診断っていつ実施すればいいの?

    A.

    リリース前の実施を強く推奨します。リリース前に脆弱性を改修することで利用者にも安心してサービスを提供できます。
    リリース後も新たに追加した機能やシステムに対して都度診断を実施すること、OSなどのプラットフォーム領域においては更新がない場合でも定期的(年に1回程度)に診断を実施することを推奨します。

  • Q. WAF、IPSを導入済みの環境へ診断は必要か。

    A.

    必要です。
    WAF、IPSが導入された環境で診断を行う理由は複数ございます。
    お客様の意図に沿った診断が行えるようにご支援しますので、事前ヒアリングの中でご相談ください。

  • Q. クラウドサービスを利用しているが診断は可能か。

    A.

    可能です。
    サービス事業者によっては診断実施にあたり事前申請が必要なケースがございますので、ご利用中のクラウドサービスの事業者に確認をお願いします。
    お客さまが責任を持つ範囲において、セキュリティレベルを把握し、セキュリティ対策をすることは重要です。

  • Q. 結果報告書の内容から改修対応できるかどうか不安。

    A.

    報告書には総合評価(重大/危険/注意/継続/安全の5段階評価、および総合コメント)のほか、検出された脆弱性の説明、再現手順、推奨される対策が記載されます。
    報告書の内容に関する問い合わせも受け付けており、ご希望いただければ報告会の実施も可能です。

    詳しくは資料ダウンロード

    【報告書サンプル】

    【報告書サンプル案】

サービス詳細資料の
ダウンロードはこちら!

Digital Security

KDDIデジタルセキュリティ株式会社について

KDDIが通信事業者として蓄積してきたサイバーセキュリティに関する経験と知識、それにセキュリティ分野の専門企業であるラックのノウハウを加えて設立した会社です。
高度化・巧妙化が進むサイバー攻撃からお客さまを守り、安心して事業運営に集中できる環境をご提案・ご提供いたします。