Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始

ソフトバンク・テクノロジーは、サイバー攻撃の実態などを踏まえたペネトレーション診断サービスをあらたに開発し、提供を開始した。

ネットワークに接続された機器に対して侵入を試みる診断サービスで、ラインナップとして「ペネトレーション診断」「ペネトレーション診断プラス」「Active Directory診断」の3サービスを用意。それぞれ最低2名のエンジニアが担当し、機械と手動を組み合わせた検査により診断する。

「ペネトレーション診断」では、「攻撃者視点」を踏まえ、実際の攻撃手法を用いて調査を実施。問題を可視化してレポートを提供する。

20141023_st_001.jpg
踏み台も想定した侵入試行も実施(図:ソフトバンク・テクノロジー)

修正すべき脆弱性に関しては、同社独自の優先順位を示し、対応を支援するほか、複数端末を診断対象とする場合は、端末ごとの調査にとどまらず、侵入可能な機器が見つかった場合は、踏み台に利用された場合を想定した侵入試行も行う。

上位サービスにあたる「ペネトレーション診断プラス」では、ローカル環境からソフトウェアの導入や脆弱性の対応状況、アカウントのパスワード強度などを調査。さらにこれらを侵入テストに用いることで、脆弱性攻撃や不正ログイン、攻撃コードへの耐性などについて、より細かい診断を実施する。

一方、「Active Directory診断サービス」は、ネットワークにおける認証情報を管理する「Active Directoryサーバ」に特化したもの。ネットワークの要所として標的型攻撃でターゲットになるケースもあることからサービス化した。

OSやソフトウェアの脆弱性、設定ミス、パスワードやログ取得の設定状況などの調査や、実際の侵入テスト、Microsoftが定めた基準によるポリシー監査などを通じて、セキュリティ対策の状況を調べる。

10件のIPを対象としたオンサイト診断の参考価格は、「ペネトレーション診断」が185万円、「ペネトレーション診断プラス」が295万円。報告会や再診断はオプションで対応するほか、定期診断などの相談にも応じる。「Active Directory診断」は、1ドメインコントローラ、100ユーザーまでの環境におけるスポット診断で98万円から。

(Security NEXT - 2014/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

遷移条件の設定にも対応、クラウド型のウェブ脆弱性診断サービス
大規模ECに対応した運用環境を「EC-CUBE」開発元が提供
「IaaS」や「PaaS」上の設定不備を診断するサービス
ラック、生成AIシステム特有のセキュリティ問題を診断するサービス
生成AIに擬似攻撃、リスクを評価するサービス - NRIセキュア
自社開発エンジンによる「ASMツール」を提供 - GMOサイバーセキュリティ
セキュリティ診断に探索的テストを組みあわせた「IoT機器診断サービス」
「ブラックボックス診断」で問題発見時に静的診断も - Flatt Security
「CRI Profile」を踏まえた金融機関向けセキュリティ監査サービス
インシデントに備えたログ取得管理状況の調査サービス