PCF PAYMENT CARD FORENSICS

事故発生時のお問い合せは365日24時間対応

お問い合せ
0120-938-897
HOME サービス 情報セキュリティ診断サービス

情報セキュリティ診断サービス

事故を未然に防止する為に平時から実施可能な専門家による情報セキュリティ診断サービスをご提供します。

  • PCFのWebアプリケーション診断の特徴

    PCFでは、専門的な知識をもった診断技術者が、Webサイトに潜在するセキュリティ上の問題を洗い出し、必要な対策のアドバイスを提供します。

    サービス概要

    インターネット経由により、独自の検査ツールを利用した、品質の標準化と診断項目等の網羅性を確保しながら検査をおこないます。

    専門の診断技術者がアプリケーションの構造を考慮しながら、手動で検査を実施するため、従来の診断ツールでは検出困難な脆弱性の検出が可能です。

    また、単に脆弱性の存在を調査するだけでなく、その脆弱性が具体的にお客様のシステムに対して、どのような影響を与えるかまで検証します。

    報告書は、技術者による5段階評価、総評、脆弱性およびリスク(影響度)の解説、対応策を、画面キャプチャを取り入れてわかりやすく作成します。

    Webアプリケーション診断概要

    検査項目 説明 典型的な脆弱性
    ユーザ認証に関する項目 不正なサービスを利用やなりすましによって、不正なアプリケーション利用の可否を確認します。
    また、暗号化通信の有無や、サーバ証明書の設定が適切かを確認します。
    • 脆弱なパスワードの存在
    • 認証設定の不備
    • パスワードリマインダの不備
    • SSL証明書の妥当性
    • HTTPの不備
    コンテンツアクセス承認に関わる項目 ユーザ毎の情報を保持する目的で利用されるセッション管理の不備によって、正規ユーザになりすまし、個人情報などの漏えいが発生する可能性がないか確認します。
    • 推測可能なセッションID
    • アクセス制御機構の不備
    • セッション終了処理の不備
    • セッションフィクセイション
    クライアントを対照とした攻撃に関する項目 ユーザの使用するブラウザを攻撃することで、任意のスクリプトの実行や、コンテンツの詐称ができないか確認します。
    • クロスサイトスクリプティング
    • コンテンツ詐称
    コマンド実行に関する項目 通常の使用では使用しない文字列等を入力した場合のプログラムの挙動を調査し、サービスの異常停止や、OSやデータベースの不正操作による重大な情報の漏えいの可能性などを確認します。
    • バッファオーバーフロー
    • OSコマンドインジェクション
    • SQLインジェクション
    • SSIインジェクション
    • LDAPインジェクション
    情報取得に関する項目 WebサーバやWebアプリケーションに添付されているデフォルトページやサンプルページの有無を確認します。
    また、公開されていないファイルなどを探索することで、予期しない情報が露呈する可能性を確認します。
    • サーバの設定
    • ディレクトリトラバーサル
    • 強制ブラウズ・認証回避
    • 不要なコンテンツの存在
    • コモンファイルエクステンション
    アプリケーション機能の悪用に関する項目 Webアプリケーションの構造上や機能上の弱点の有無を確認し、各種攻撃の可能性について検証します。
    • クロスサイトリクエストフォージェリ
    • 改行コードインジェクション
    • アップロード機能の不正利用
    • 機能の悪用
    • サービス妨害
    • 自動アクセス防止の不備
  • PCFのペネトレーション診断の特徴

    PCFでは、お客様のシステム(サーバ、ネットワーク機器)に対し、攻撃者と同等の疑似攻撃を行うことで、攻撃に対する耐性やセキュリティレベルの客観的評価を実施。システム強化策を提供します。

    サービス概要

    インターネット経由およびご指定いただいた、内部LANセグメントから対象サーバやネットワーク機器等に対して、複数のツールおよび手作業により、脆弱性の有無を検証します。

    さらに、インターネットに公開されている既知の脆弱性を利用してサーバへの侵入を可能とするプログラムや、独自のスクリプト等を使用して、攻撃の可否を検証します。

    ペネトレーションテスト

    ペネトレーション診断と脆弱性スキャナによる検査との違い

    脆弱性スキャナによる検査はソフトウェアを利用した検査のみを実施します。低コストかつ短期間で検査を実施することが可能です。ただし、ネットワーク経由で取得可能な情報をもとにして脆弱性の分析を行うため、発見できない脆弱性も存在します。脆弱性スキャナによる検査は、これまで検査を実施したことがないお客様や、低コストで効率よくシステムのセキュリティレベルを把握したいお客様にお勧めいたします。

    ペネトレーションテストは、脆弱性スキャナによる検査に加えて、検査者の手作業による検査を行います。脆弱性スキャナでは発見できない、複合的な問題の検査を行うため、システムに存在する脆弱性を現状のセキュリティリスクに即した形で把握することが可能となります。ペネトレーションテストは、高度なセキュリティレベルを求めるお客様にお勧めいたします。

  • PCFのセキュリティコンサルティングの特徴

    PCFでは、多くのコンサルティング実績をもつ専門家によるオンサイト現状分析と、情報システムプラットフォーム診断を実施。お客様の情報セキュリティ環境を評価した後、対応方針策定を支援します。
    また、お客様のセキュリティ環境に応じた、ソリューションのご提案、選定や導入に関わる支援等も実施します。

    サービス概要

    PCFプラットフォーム診断によって、お客様の対象システム脆弱性の有無を調査し、技術的なセキュリティレベルの評価をおこないます。
    併せてオンサイト現状分析によって、入退室管理や錠管理等の物理的なセキュリティ、運用ルール整備、従業員/委託業者の教育等の人的セキュリティなど、様々なセキュリティの観点から分析を実施します。

    プラットフォーム診断やオンサイト現状分析の結果を、ISMSやPCI DSSなど、国際的に信頼度の高いセキュリティ基準において要求される要件と照らし合わせ、情報セキュリティやIT統制の現状レベルを客観的に評価します。
    また、必要に応じてセキュリティ規定の整備やソリューション導入等も含め、お客様の実情に合わせた体制強化のための方針策定を支援します。

    • 1.ヒアリング調査の実施
    • 2.現地調査の実施
    • 3.システムの技術的検証の実施
    • 4.セキュリティ要件整理
    • 5.分析結果報告の実施
    • 6.改善案や強化施策の提示

    サービスのご提供フロー

    ヒアリング調査及び現地調査により、情報セキュリティの現状を分析・評価します。
    必要に応じて、組織のセキュリティ体制を強化するための施策を提示します。

    1ヶ月~2ヶ月 診断・評価フェーズ 2ヶ月~4ヶ月 コンサルティングフェーズ ヒアリング調査・現地調査 システム技術的評価 セキュリティ要件整理 分析結果・評価報告 改善案の提示 セキュリティ強化支援