Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始

ソフトバンク・テクノロジーは、サイバー攻撃の実態などを踏まえたペネトレーション診断サービスをあらたに開発し、提供を開始した。

ネットワークに接続された機器に対して侵入を試みる診断サービスで、ラインナップとして「ペネトレーション診断」「ペネトレーション診断プラス」「Active Directory診断」の3サービスを用意。それぞれ最低2名のエンジニアが担当し、機械と手動を組み合わせた検査により診断する。

「ペネトレーション診断」では、「攻撃者視点」を踏まえ、実際の攻撃手法を用いて調査を実施。問題を可視化してレポートを提供する。

20141023_st_001.jpg
踏み台も想定した侵入試行も実施(図:ソフトバンク・テクノロジー)

修正すべき脆弱性に関しては、同社独自の優先順位を示し、対応を支援するほか、複数端末を診断対象とする場合は、端末ごとの調査にとどまらず、侵入可能な機器が見つかった場合は、踏み台に利用された場合を想定した侵入試行も行う。

上位サービスにあたる「ペネトレーション診断プラス」では、ローカル環境からソフトウェアの導入や脆弱性の対応状況、アカウントのパスワード強度などを調査。さらにこれらを侵入テストに用いることで、脆弱性攻撃や不正ログイン、攻撃コードへの耐性などについて、より細かい診断を実施する。

一方、「Active Directory診断サービス」は、ネットワークにおける認証情報を管理する「Active Directoryサーバ」に特化したもの。ネットワークの要所として標的型攻撃でターゲットになるケースもあることからサービス化した。

OSやソフトウェアの脆弱性、設定ミス、パスワードやログ取得の設定状況などの調査や、実際の侵入テスト、Microsoftが定めた基準によるポリシー監査などを通じて、セキュリティ対策の状況を調べる。

10件のIPを対象としたオンサイト診断の参考価格は、「ペネトレーション診断」が185万円、「ペネトレーション診断プラス」が295万円。報告会や再診断はオプションで対応するほか、定期診断などの相談にも応じる。「Active Directory診断」は、1ドメインコントローラ、100ユーザーまでの環境におけるスポット診断で98万円から。

(Security NEXT - 2014/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

損保ジャパンと日立、インシデント発生率と損害額を定量化する診断手法を開発
セキュアブレイン、ウェブアプリのソースコード診断を開始
ハードや通信を調査する「IoTセキュリティ診断サービス」 - ラック
IoT向けセキュリティコンサルサービス - EGセキュア
ウェブサイト向けセキュリティ診断サービスのラインナップを強化 - EGセキュア
家庭内LANの安全性診断ツールに脆弱性診断機能を追加 - 「Mirai」が狙うポートの開放状況もチェック
EGセキュア、スマホアプリ向けに脆弱性診断 - サーバのAPIにも対応
GDPRの対応支援サービスを提供 - IIJ
SSK、3億円投じて大阪にSOC開設 - MSSなどを提供開始
IPA、1テーマ5分の学習ツールに新版 - 「中小企業のセキュリティ対策ガイドライン」に対応