The consulting company Sun Partners Co.,Ltd
Privacy Policy

Site map

Contact
Home Consulting Training seminar Assessment Audit Standardization Service Company info

Home > 各種診断

各種診断

  各種診断支援

不正アクセス、Webサイトの改ざん等、セキュリティ事件・事故が多発しています。

これを未然に防ぐべく、当社の脆弱性診断では、物理的および技術的な脆弱性、ネットワーク・Webアプリケーション等の脆弱性に対し、検査を実施いたします。
そこで得られた検査結果をもとに、危険度および緊急度の高い脆弱性から対応いただくことで、お客様のセキュリティ環境をより強固にする支援をいたします。

当社ではPCI DSSに準じた各種診断、国立大学法人様向けの脆弱性診断等、日本トップクラスの実績を誇ります。

  PCI DSSギャップ分析

PCI DSSギャップ分析とは、現状の取組状況とPCI DSSの要件との差異を明確にし、実施すべき項目を明確にするものです。

診断シート、文書の確認、ヒアリング及びサイトツアー等によりギャップ分析を実施し、報告書及びリスク対応計画案を策定します。

PCI DSS準拠に向けた必須項目に対する対応コストの大幅な削減や、現状の取組状況に把握に役立ちます。

  脆弱性スキャニング

脆弱性スキャニングとは、脆弱性診断ツールを用いて情報を収集し、検出した脆弱性の正誤をエンジニアが精査する診断手法です。

稼働中のシステムへ極力負担を与えることなく、サーバの稼働OSや稼働サービスを確認した上で、診断対象にどのようなリスクが存在するかを洗い出します。

※なお、発見された脆弱性に対する疑似攻撃(ペネトレーションテスト)は実施しません。

実施方法

脆弱性診断ツールを使用してスキャニングを実施します。
ファイアウォールの外側に対しては外部(インターネット側)から、内側に対してはオンサイト(お客様先訪問)で実施します。
実施時間帯についても、お客様のご要望に応じて実施いたします。(夜間休日対応等)
  ペネトレーションテスト

ペネトレーションテストとは、システムを実際に攻撃して侵入を試みることで、コンピュータやネットワーク上の弱点を発見する診断手法です。

特にネットワーク接続された情報システムが外部からの攻撃に対して安全かどうか、実際に攻撃手法を試しながら安全性の検証を行います。

なお、ペネトレーションテストは、脆弱性診断の結果を踏まえ、エンジニアが手動でサーバへの侵入を試みることで、脆弱性診断で洗い出したリスクを検証し、サーバの安全性(侵入の可否等)を評価するものです。

実施方法

専門家が特定された脆弱性に対し、手動で実施します。
ファイアウォールの外側に対しては外部(インターネット側)から、内側に対してはオンサイト(お客様先訪問)で実施します。
テストの内容は、お客様のご要望に応じて実施いたします。
実施時間帯についても、お客様のご要望に応じて実施いたします。(夜間休日対応等)
  無線調査(不正な無線アクセスポイントの検知)

無線調査とは、不正な無線アクセスポイントの検知及び診断を行うことで、無線通信の「見える化」を行うことです。

アクセスポイントを「見える化」することにより、無線通信により情報漏洩の可能性を発見することができます。このような脆弱性の「見える化」により、より適切かつ効率的な脆弱性対策を立案することができます。

実施方法

1. お客様の環境下で無線調査(不正なアクセスポイントの検知)を実施いたします。
2. 報告書を作成します。
  通信の見える化

通信の見える化とは、インターネットアクセス通信ログの解析により、通信状況の診断を行うことです。

どのような通信が、いつ、どこから、どこに対して行われていることを「見える化」することにより、情報漏洩の可能性、マルウェア感染やその可能性のあるPC等を発見することができます。このような脆弱性の「見える化」により、より適切かつ効率的な脆弱性対策を立案することができます。

実施方法

1. 診断用機器をお客様のネットワークに設置します。
2. お客様提供のアクセスログの解析を行い、報告書を作成します。

※診断用機器の設置場所については事前に相談させていただきます。
※報告書頻度はお客様のご要望に準じ対応いたします。

  セキュリティ診断

セキュリティ診断とは、各種規格や基準を診断の基準とし、診断対象組織の情報セキュリティへの取組状況を診断するものです。

当社は、アンケートやヒアリング及び現場確認等を通じて対象組織の事業や業務の流れ、組織的・人的・物理的及び技術的対策の状況を把握した上で、情報セキュリティ上の問題点を抽出し、報告を行います。当社が提出する報告書には、抽出された問題点と合わせて、想定されるリスクと対応策も含まれます。

セキュリティ診断を通じて、対象組織は情報セキュリティ上のリスク、取るべき施策が明確となり、それらに対して優先順位付することで、より効率的なセキュリティ対応が可能になります。

参考基準(例)

ISO27001 情報セキュリティマネジメントシステム
PCI DSS(Payment Card Industry Data Security Standard)
経済産業省発行 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
経済産業省発行 営業秘密管理指針

※お客様の取り扱う内容によって、基準はカスタマイズします。

  標的型メール攻撃訓練

標的型メール攻撃訓練とは、お客様の組織内の対象の方々に向けて疑似的な標的型攻撃メールを送信し、その対応について訓練を行うものです。

当社では、疑似的な標的型攻撃メールに過去の重大なインシデント及び最新の手法等を取り入れてご提案いたします。また第三者である弊社が訓練を請け負うことで、対象組織の全員が当該訓練を受講いただくことができます。

実施方法
1.訓練計画の策定及び計画メールの配信
2.結果集計、分析及び報告書配信。

※訓練の頻度等は、お客様のご要望に応じ対応いたします。

Assesment


Copyright (C) 2006-2014. Sun Partners Co.,Ltd. All rights reserved.