Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始

ソフトバンク・テクノロジーは、サイバー攻撃の実態などを踏まえたペネトレーション診断サービスをあらたに開発し、提供を開始した。

ネットワークに接続された機器に対して侵入を試みる診断サービスで、ラインナップとして「ペネトレーション診断」「ペネトレーション診断プラス」「Active Directory診断」の3サービスを用意。それぞれ最低2名のエンジニアが担当し、機械と手動を組み合わせた検査により診断する。

「ペネトレーション診断」では、「攻撃者視点」を踏まえ、実際の攻撃手法を用いて調査を実施。問題を可視化してレポートを提供する。

20141023_st_001.jpg
踏み台も想定した侵入試行も実施(図:ソフトバンク・テクノロジー)

修正すべき脆弱性に関しては、同社独自の優先順位を示し、対応を支援するほか、複数端末を診断対象とする場合は、端末ごとの調査にとどまらず、侵入可能な機器が見つかった場合は、踏み台に利用された場合を想定した侵入試行も行う。

上位サービスにあたる「ペネトレーション診断プラス」では、ローカル環境からソフトウェアの導入や脆弱性の対応状況、アカウントのパスワード強度などを調査。さらにこれらを侵入テストに用いることで、脆弱性攻撃や不正ログイン、攻撃コードへの耐性などについて、より細かい診断を実施する。

一方、「Active Directory診断サービス」は、ネットワークにおける認証情報を管理する「Active Directoryサーバ」に特化したもの。ネットワークの要所として標的型攻撃でターゲットになるケースもあることからサービス化した。

OSやソフトウェアの脆弱性、設定ミス、パスワードやログ取得の設定状況などの調査や、実際の侵入テスト、Microsoftが定めた基準によるポリシー監査などを通じて、セキュリティ対策の状況を調べる。

10件のIPを対象としたオンサイト診断の参考価格は、「ペネトレーション診断」が185万円、「ペネトレーション診断プラス」が295万円。報告会や再診断はオプションで対応するほか、定期診断などの相談にも応じる。「Active Directory診断」は、1ドメインコントローラ、100ユーザーまでの環境におけるスポット診断で98万円から。

(Security NEXT - 2014/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

セキュリティ診断サービスでレッドチーム演習を提供 - GMO-CS
ブロックチェーンの脆弱性診断サービスを提供 - ProVision
RPAなど活用したウェブアプリの定額診断サービス - ラック
ECサイトの無償脆弱性診断を希望する中小企業を募集 - IPA
「Log4Shell」の診断サービスを期間限定で - セキュアブレイン
「VAddy」の「Log4Shell」診断、無料試用でも - 1月末まで
トレンドがLog4Shell無料診断ツール - エンドポイントとウェブアプリに対応
「Log4Shell」の有無やログ内の攻撃痕跡を無料調査 - SHIFT SECURITY
ウェブアプリに対する「Apache Log4j」の無償診断を期間限定提供 - ラック
クラウド設定不備による情報漏洩対策で協業 - KCCSとラック