Matrix Inspect
セキュリティエンジニアによるセキュリティ診断サービス
COCEPT
ハッカーの視点でセキュリティ検査を行い、
お客様の視点で対策を提案します。
ホワイトハッカーの専門知識を活用し、お客様のシステムをあらゆる角度から検査し、潜在的な脆弱性を発見します。
私たちは、ただ脆弱性を発見するだけでなく、お客様の視点に立ってお客様が具体的なアクションを取りやすいように解決策を提案します。
例えば、広く不特定多数のユーザーを受け入れなくてはいけないシステムやユーザーが限定され、重要な情報を取り扱うシステムとではリスク対応への考え方が異なります。また、OSやミドルウェアの環境により対策の実装方法が変わります。私たちはヒアリングや診断を通してお客様の環境を理解し、最適な解決策を心がけてサービスを提供します。
SERVICE
サービス概要
Matrix Inspectはインターネットから検査対象のシステムに対して、脆弱性診断とペネトレーションテストを行うサービスです。セキュリティ資格保持者や5年以上のペネトレーション経験を有したメンバーでチームを構成し、ホワイトハッカーの専門知識を活用したサービスです。また、AWS、Azure、Google Cloudなど主要クラウドサービスプロバイダ上の環境に特化したセキュリティサービスの開発から得た豊富な知見を活かし、これらの環境下で構築されたシステムへの脆弱性診断やペネトレーションテストを得意としています。
本サービスはセキュリティ検査の深さにより3つのプランでサービスを提供しています。
本サービスは情報セキュリティサービス基準審査に登録されたサービスです。
ベーシック
スキャナーによる自動検査から出力されたレポートを精査し、報告するサービスで低コスト、短期間で診断を行いたい場合に適します。
ビジネス
本サービスの検査は日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿って行われます。個々の機能や動作を分析し、個別の機能に対して手動で検査を実施します。
アドバンス
ビジネスプランの検査に追加し、ペネトレーションテストを実施します。脆弱性検査を通して検出した結果からリスクの高い脆弱性や、複数の脆弱性を組み合わせて脅威を引き起こす脆弱性がないか検査します。
検査アプローチ
Matrix Inspectはセキュリティ検査の検査内容や対象に応じて選択できるサービスです。検査内容は脆弱性検査、手動検査、侵入検査から構成されています。
脆弱性検査
脆弱性検査スキャナや弊社で開発したツールを活用して検査を行います。ネットワーク検査用のスキャナとWeb検査用スキャナで検査を実施します。
ネットワーク検査用スキャナではインターネット上で公開されているIPアドレスやドメインに対してスキャンを実施し稼働サービスの特定や既知の脆弱性の特定、ファイアウォールバイパスの可否試験を行います。
Web検査用スキャナではWebコンテンツ・アプリ上の検査を行います。セキュリティ設定上の問題、インジェクション攻撃を引き起こす入出力検証に関連する脆弱性を中心に検査します。
スキャン実施後は検出された結果を精査し誤検出やリスクの判定を行います。
手動検査
手動検査は脆弱性検査スキャナでは検出が難しい、アプリケーションロジックの不備による脆弱性や認証・認可・セッション管理に関連する脆弱性を検出するため、セキュリティ診断士が検査対象の画面遷移、パラメータの送受信や技術上の特徴を理解し検査を実施します。
侵入検査
脆弱性スキャナ、手動検査の結果を総合的に捉えて、Webサイトやアプリケーションに対するセキュリティコントロールを回避し、セキュリティ脅威が発生するか検査をします。例えばクロスサイトスクリプティングの脆弱性があった場合、その脆弱性を利用してセッション情報を盗難し、盗難したセッションでユーザーになりすましてWebサイトやアプリケーションへアクセスし情報が参照できるか検査します。
ある脆弱性により情報漏洩や改竄などセキュリティ脅威を引き起こすか検査します。
検査項目
脆弱性診断ではアプリケーションの環境や機能の内容に応じて以下の検査項目を実施します。
プラットフォーム
オープンポート、オープンサービス、既知の脆弱性、SSL/TLSの設定
認証
ユーザー登録、認証回避、ロックアウト機能、パスワードの強度、パスワードヒストリーによる制御、
パスワードリセット機能、パスワード変更機能、暗号通信によるパスワード送信、ハードコードされたパスワード
認可
ディレクトリートラバーザル、権限昇格、他ユーザー領域へのアクセス、 不要なHTTPメソッドの許可
セッション
Cookie属性 (Secure)、Cookie属性 (HttpOnly)、暗号化通信でのセッションの送受信、セッション機能の有効化、
セッションフィクゼーション、推測可能なセッションID、クロスサイトリクエストフォージェリー、
セッションタイムアウト機能、ログアウト機能
入力検査
リフレクト型クロスサイトスクリプティング (XSS)、ストア型クロスサイトスクリプティング (XSS)、
HTTP Verb タンパリング、SQLインジェクション、コマンドインジェクション、
ローカルファイルインクルージョン、リモートファイルインクルージョン、CRLFインジェクション、
CSS インジェクション、相対パスによる上書き、サーバーサイド・テンプレートインジェクション
クライアントサイド
クリックジャッキング、HTMLインジェクション
ファイルアップロード