Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始

ソフトバンク・テクノロジーは、サイバー攻撃の実態などを踏まえたペネトレーション診断サービスをあらたに開発し、提供を開始した。

ネットワークに接続された機器に対して侵入を試みる診断サービスで、ラインナップとして「ペネトレーション診断」「ペネトレーション診断プラス」「Active Directory診断」の3サービスを用意。それぞれ最低2名のエンジニアが担当し、機械と手動を組み合わせた検査により診断する。

「ペネトレーション診断」では、「攻撃者視点」を踏まえ、実際の攻撃手法を用いて調査を実施。問題を可視化してレポートを提供する。

20141023_st_001.jpg
踏み台も想定した侵入試行も実施(図:ソフトバンク・テクノロジー)

修正すべき脆弱性に関しては、同社独自の優先順位を示し、対応を支援するほか、複数端末を診断対象とする場合は、端末ごとの調査にとどまらず、侵入可能な機器が見つかった場合は、踏み台に利用された場合を想定した侵入試行も行う。

上位サービスにあたる「ペネトレーション診断プラス」では、ローカル環境からソフトウェアの導入や脆弱性の対応状況、アカウントのパスワード強度などを調査。さらにこれらを侵入テストに用いることで、脆弱性攻撃や不正ログイン、攻撃コードへの耐性などについて、より細かい診断を実施する。

一方、「Active Directory診断サービス」は、ネットワークにおける認証情報を管理する「Active Directoryサーバ」に特化したもの。ネットワークの要所として標的型攻撃でターゲットになるケースもあることからサービス化した。

OSやソフトウェアの脆弱性、設定ミス、パスワードやログ取得の設定状況などの調査や、実際の侵入テスト、Microsoftが定めた基準によるポリシー監査などを通じて、セキュリティ対策の状況を調べる。

10件のIPを対象としたオンサイト診断の参考価格は、「ペネトレーション診断」が185万円、「ペネトレーション診断プラス」が295万円。報告会や再診断はオプションで対応するほか、定期診断などの相談にも応じる。「Active Directory診断」は、1ドメインコントローラ、100ユーザーまでの環境におけるスポット診断で98万円から。

(Security NEXT - 2014/10/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

トレンドがLog4Shell無料診断ツール - エンドポイントとウェブアプリに対応
「Log4Shell」の有無やログ内の攻撃痕跡を無料調査 - SHIFT SECURITY
ウェブアプリに対する「Apache Log4j」の無償診断を期間限定提供 - ラック
クラウド設定不備による情報漏洩対策で協業 - KCCSとラック
「LIQUID eKYC」、「収入証明書」や「健康診断書」の撮影に対応
BSIグループとイエラエセキュリティ、デジタルフォレンジック分野で協業
サンドボックスなど利用したクラウド向け脅威対策サービス - NTT東
Linuxサーバの脆弱性可視化サービス - サイバートラスト
東京商工会議所、会員向けセキュ対策でコンソーシアムを発足
攻撃ルートや対策効果を可視化するサービス - NEC