Matrix Inspect
セキュリティエンジニアによるセキュリティ診断サービス
CONCEPT
ハッカーの視点でセキュリティ検査を行い、お客様の視点で対策を提案します。
ホワイトハッカーの専門知識を活用し、お客様のシステムをあらゆる角度から検査し、潜在的な脆弱性を発見します。
私たちは、ただ脆弱性を発見するだけでなく、お客様の視点に立ってお客様が具体的なアクションを取りやすいように解決策を提案します。
例えば、広く不特定多数のユーザーを受け入れなくてはいけないシステムやユーザーが限定され、重要な情報を取り扱うシステムとではリスク対応への考え方が異なります。また、OSやミドルウェアの環境により対策の実装方法が変わります。私たちはヒアリングや診断を通してお客様の環境を理解し、最適な解決策を心がけてサービスを提供します。
SERVICE
サービス概要
Matrix Inspectはインターネットから検査対象のシステムに対して、脆弱性診断とペネトレーションテストを行うサービスです。セキュリティ資格保持者や5年以上のペネトレーション経験を有したメンバーでチームを構成し、ホワイトハッカーの専門知識を活用したサービスです。また、AWS、Azure、Google Cloudなど主要クラウドサービスプロバイダ上の環境に特化したセキュリティサービスの開発から得た豊富な知見を活かし、これらの環境下で構築されたシステムへの脆弱性診断やペネトレーションテストを得意としています。
本サービスはセキュリティ検査の深さにより3つのプランでサービスを提供しています。
ベーシック
スキャナーによる自動検査から出力されたレポートを精査し、報告するサービスで低コスト、短期間で診断を行いたい 場合に適します。静的なウェブサイトや画面遷移が少ないウェブアプリケーションの脆弱性検査、ネットワーク、OS、ミドルウェアなど既知脆弱性を確認したい場合に最適です。
ビジネス
本サービスの検査は日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿って行われます。個々の機能や動作を分析し、個別の機能に対して手動で検査を実施します。ユーザー毎にコントロールが必要なWebアプリケーションや会員サイト、画面遷移が複雑なWebアプリケー ションに最適です。
アドバンス
ビジネスプランの検査に追加し、ペネトレーションテストを実施します。脆弱性検査を通して検出した結果からリスクの高い脆弱性や、複数の脆弱性を組み合わせて脅威を引き起こす脆弱性がないか検査します。脆弱性の検出だけでなく脆弱性の影響範囲を把握し、アプリケーションのリスクを把握する場合に最適なプランです。
本サービスは情報セキュリティサービス基準審査に登録されたサービスです。
プロフェッショナルが検査・コンサル対応
脆弱性検査スキャナや弊社で開発したツールを活用して検査を実施。スキャン実施後は検出された結果を精査し誤検出やリスクの判定を行います。
脆弱性検査
脆弱性検査スキャナでは検出が難しい脆弱性を、セキュリティ診断士が検査対象の画面遷移、パラメータの送受信や技術上の特徴を理解し検査を実施。
手動検査
Webサイトやアプリケーションに対するセキュリティコントロールを回避し、セキュリティ脅威が発生するか検査します。
侵入検査
専任担当による
ヒアリング
貴社webサービス
検査結果のフィードバック・脆弱性対策のご提案
検査アプローチ
Matrix Inspectはセキュリティ検査の検査内容や対象に応じて選択できるサービスです。検査内容は脆弱性検査、手動検査、侵入検査から構成されています。
自動検査
脆弱性検査スキャナや弊社で開発したツールを活用して検査を行います。ネットワーク検査用のスキャナとWeb検査用スキャナで検査を実施します。ネットワーク検査用スキャナではインターネット上で公開されているIPアドレスやドメインに対してスキャンを実施し稼働サービスの特定や既知の脆弱性の特定、ファイアウォールバイパスの可否試験を行います。Web検査用スキャナではWebコンテンツ・アプリ上の検査を行います。セキュリティ設定上の問題、インジェクション攻撃を引き起こす入出力検証に関連する脆弱性を中心に検査します。スキャン実施後は検出された結果を精査し誤検出やリスクの判定を行います。
手動検査
手動検査はセキュリティエンジニアが自らWebアプリケーションやシステムを操作し、脆弱性を確認・検証する方法です。脆弱性検査スキャナでは検出が難しい、アプリケーションロジックの不備による脆弱性や認証・認可・セッション管理に関連する脆弱性を検出するため、セキュリティ診断士が検査対象の画面遷移、パラメータの送受信や技術上の特徴を理解し検査を実施します。
侵入検査
脆弱性スキャナ、手動検査の結果を総合的に捉えて、Webサイトやアプリケーションに対するセキュリティコントロールを回避し、セキュリティ脅威が発生するか検査をします。例えばクロスサイトスクリプティングの脆弱性があった場合、その脆弱性を利用してセッション情報を盗難し、盗難したセッションでユーザーになりすましてWebサイトやアプリケーションへアクセスし情報が参照できるか検査します。
ある脆弱性により情報漏洩や改竄などセキュリティ脅威を引き起こすか検 査します。
検査項目
脆弱性診断ではアプリケーションの環境や機能の内容に応じて以下の検査項目を実施します。
プラットフォーム
-
オープンポート
-
オープンサービス
-
既知の脆弱性
-
SSL/TLSの設定
認証
-
ユーザー登録
-
認証回避
-
ロックアウト機能
-
パスワードの強度
-
パスワードヒストリーによる制御
-
パスワードリセット機能
-
パスワード変更機能
-
暗号通信によるパスワード送信
-
ハードコードされたパスワード
認可
-
権限昇格
-
他ユーザー領域へのアクセス
-
不要なHTTPメソッドの許可
セッション
-
暗号化通信でのセッションの送受信
-
セッション機能の有効化
-
推測可能なセッションID
-
ログアウト機能
入力検査
-
リモートファイルインクルージョン
-
相対パスによる上書き
クライアントサイド
ファイルアップロード
-
DoS、
-
ZIPファイルによるシンボリンクファイルの上書き攻撃
情報漏洩
-
クエリーストリング内の機密データ
-
バックアップファイルの存在
-
設定ファイルの参照
-
個人情報のマスキング不備による漏洩
SERVICE PLAN
ベーシック
300,000円 ~
-
脆弱性検査(スキャナ)
ビジネス
600,000円 ~
-
脆弱性検査 (スキャナ)
-
手動検査 (10箇所)
-
オプションサービス
アドバンス
900,000円 ~
-
脆弱性検査(スキャナ)
-
手動検査 (10箇所)
-
ペネトレーションテスト
-
オプションサービス
オプションサービス
再検査
30,000円
セキュリティ検査で脆弱性が検出された場合、改修後に脆弱性が検出されないか再度検査いたします。再検査は報告書で記載した脆弱性発生箇所から再検査をご希望する箇所を選択いただき実施します。1箇所単位で料金が発生し、再検査の有効期限は報告書提出日から2ヶ月以内になります。
iOSアプリ
300,000円
検査対象がiOSで提供している場合、モバイル端末内のアプリケーションのセキュリティに対して検査を行います。APIと連携部分においては基本料金で実施します。
Androidアプリ
200,000円
検査対象がAndroidで提供している場合、モバイル端末内のアプリケーションのセキュリティに対して検査を行います。APIと連携部分においては基本料金で実施します。
AWSアカウント検査
100,000円
AWSアカウント(テナント)のセキュリティに関わる設定を検査します。CISベンチマークをベースに追加で検査項目をカスタマイズし、リスクを判定して報告いたします。詳細については「CIS(Center for Internet Security)ベンチマークで対応するAWSアカウントのセキュリティ対策」をご参照ください。
追加手動検査
30,000円
基本料金に含まれる手動検査数を超える場合、11箇所目から追加料金が発生します 。
オンライン報告会
50,000円
WebEx, Zoomなどで遠隔ミーティングを開催し、報告書の内 容を解説をさせていただきます。報告書の内容について理解を深めたい、第三者から関係部署のメンバーへ報告したい場合にご利用ください
SERVICE DELIBERY
ご利用プロセス
Step1
お問い合わせ
webフォームからお問い合わせください。
2営業日以内に担当者よりご連絡いたします。
Step2
ヒアリングシート記入
現在のご状況についてお聞かせください。
Step3
お見積り
電子見積もりをお出しいたします。
Step4
ご契約
電子契約にて締結させていただきます。
ご契約前
Step5
事前調整
診断IPの許可、ホワイトリストへの追加等を行っていただきます。IDの準備が必要な場合はご準備いただきます。
Step6
診断の実施
診断の所要日数はターゲットのボリュームとプランにより変わります。
Step7
報告書の提出
診断結果を元に詳細なレポートを提出いたします。
Step8
報告会の実施
無料のオプションとなります。専門のコンサルタントが解説いたします。
ご契約後
FAQ
脆弱性が検出された時の対応方法は報告書に記載されますか?
報告書には脆弱性の詳細とその対応方法を記載させていただきます。対応方法はなるべくお客様のシステム環境にあった対策がとれるように記載させていただきます。記載した内容にご不明な点がある場合はメールや口頭で説明させていただきます。
報告会は実施していただけますか?
報告会はリモート対応で開催することは可能です。オプションサービスとなりますが、関係者の方を招集して会議形式で説明が必要な場合はご利用ください。
当サービスの強みや他社との差別化はありますか?
弊社はパブリッククラウド基盤上でWebセキュリティに特化したクラウドサービスを開発しており、AWSやAzure、Google Cloud上のWebサービスの検査を得意としております。
検査項目は網羅するため基準などに沿って実施しておりますか?
日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿った検査メニューでサービスを提供しております。
脆弱性診断で利用しているツールは何を利用していますか?
Webアプリケーションレイヤーの検査においてはBurpSuiteを利用しております。プラットフォーム検査では OpenVAS、nmap、nuecli、自社開発のスキャナーを利用しております。