お問い合わせ

内部脆弱性スキャン

ユービーセキュアの内部脆弱性スキャンは、組織特有の課題に対応した柔軟なソリューションを提供し、管理コストやリスクの軽減を支援します。また、お客様組織でスキャン実施を完結できる体制づくり(内製化)を支援し、外部ベンダーに依存しない、安全な運用を長期的にサポートします。

MV

ユービーセキュアが提供する内部脆弱性スキャン

攻撃者の観点で疑似攻撃を行い、システム構成要素や各種設定から被害に繋がる挙動があるかを確認します。

img01
認証スキャンの実施

ユーザ権限でシステム内部に潜む脆弱性を正確に診断します。

img02
非破壊型による診断を実施

システムへの影響を考慮した診断でリスクを特定します。

img03
お客様環境に沿った診断方法のご提案

個別の環境に最も適した診断手法を柔軟に提案します。

提供プラン

ユービーセキュアは組織の課題に合わせた内部脆弱性スキャンを提供します。

img04
内製化・導入支援 ベーシック

お客様の環境にツールを導入し、組織内で運用していただく体制づくりを支援します。

プランの特長

  • 希望の時間帯でスキャン実施可能
  • 実施にあたる調整コストを削減可能
  • 最短ステップでのセキュリティ内製化を実現可能
img05
内製化・導入支援 プロ

お客様の環境にツールを導入し、専門家が結果の精査と報告書作成を行います。

プランの特長

  • 希望の時間帯でスキャン実施可能
  • 実施にあたる調整コストを削減可能
  • 専門家によるサポートや評価を受けられノウハウの蓄積が可能
img06
内部脆弱性スキャンサービス

お客様が指定する場所に専門家が伺い、診断を実施。報告書作成まで一貫して対応します。

プランの特長

  • 組織内にリソースがなくてもスキャン実施可能
  • 専門家によるサポートや評価を受けられノウハウの蓄積が可能
  • ツールのライセンス購入が不要

最適なプランの提案

chart_pc

chart_sp

内部脆弱性スキャンの課題と内製化のご提案

内部脆弱性スキャンは3か月に1回実施する必要があるため、機器の設定変更や認証情報の更新など、頻繁な準備が求められ、大きな労力がかかります。ユービーセキュアでは、スキャン実施に伴うリスクや準備・調整にかかるコストを削減するため、お客様の組織内でスキャンを完結できる体制の構築(内製化)をご支援しています。外部に依存せずにスムーズな運用を維持できるよう、万全のサポートを提供します。

内部脆弱性スキャンの課題

img07
複数の対象機器の設定変更が発生するため、管理コストがかかってしまっている
img08
診断ベンダーとの調整コストがかかってしまっている
img09
設定変更を戻す際やアカウント管理にミスが発生するリスクがある
 

tenable製品を活用し、お客様の組織内でスキャンを完結できる体制の整備をおすすめします。
導入・運用支援プランも用意しており、スムーズな運用をサポートいたします。

内製化までのイメージ

  1. STEP01
    オンサイト形式で専門家が診断
    • 内部脆弱性スキャンサービス
  2. STEP02
    お客様の環境にツールを導入し、専門家の手を借りながら社内で診断
    • 内製化・導入支援 ベーシック
    • 内製化・導入支援 プロ
  3. STEP03
    お客様の環境にツールを導入し、外部に頼らず社内で診断
    • 自社運用

診断項目

種別 診断内容 対象
ネットワーク情報の取得 ポートスキャンによる稼働サービスの検出   対象ポート:0-65535
稼働サービスからバージョン情報の収集   稼働サービスすべて
脆弱性の検出 稼働サービスに応じた設定確認   稼働サービスすべて
認証試行
  • 推測可能なアカウントやパスワードによるログイン可否の検証
認証機能のあるサービス
Webアプリケーション診断
  • 不要な情報、不要なディレクトリ
  • サーバの設定不備の検出
  • ベーシック認証の検出
  • ミドルウェアに存在しうる既知の脆弱性の悪用可否を検証
対象サービス:HTTP、HTTPS
SSL/TLS調査   SSL/TLS使用サービス
暗号アルゴリズムの危殆化調査   SSL/TLS使用サービス

スキャン方式

PCI DSSでは、「高度で特権的」な認証情報を使用した認証スキャンの実施が求められています。お客様の組織の環境やルールを考慮し、最適な方式を提案します。
スキャン方式には以下の2つがあります。

img010
ネットワークベース式

概要

  • SSHなどの認証情報をスキャナに登録
  • スキャナからスキャンを実行

考慮する点

  • 認証情報を都度登録する必要がある
  • 診断対象にて、スキャナによるログインの許可設定が必要

プラン

内製化・導入支援
ベーシック
内製化・導入支援
プロ
内部脆弱性
スキャンサービス
img011
ホストベース式

概要

  • 診断対象機器にエージェントをインストールする
  • 診断対象上とスキャナからの2パターンでスキャンを実行

考慮する点

  • エージェントがインストール可能な機器が限定されている
  • エージェントからポータルへの通信要件が必要

プラン

内製化・導入支援
ベーシック
内製化・導入支援
プロ

サービス実施の流れ

内製化・導入支援
ベーシック
内製化・導入支援
プロ
内部脆弱性
スキャンサービス
 
      STEP1 導入 貴社環境へTenableのインストール・初期設定を行います。
      STEP2 スキャン実施 Tenableのポータルへアクセスしてスキャンを実施します。
      STEP3 精査 過検知や誤検知を除外します。
      STEP4 レポート 診断結果報告書を作成します。
      STEP5 報告会 診断結果報告書を用いて報告会を行います。
      STEP6 再現確認診断 脆弱性修正後に再スキャンを行い、危険度中以上の脆弱性に対して事象の再現可否を確認し、再現確認診断結果サマリを作成します。
      STEP7 問い合わせ ツールの仕様とレポート内容についてメールにて問合せを受け付けます。
(プロのみ)相談会の開催が可能です。

料金

下記情報にてお見積りします。

  • 診断対象IPアドレス数
  • 診断時間の制限有無(平日・休日、日中・深夜、など)
  • 診断実施場所(出張費が発生する可能性があります)
  • オプション有無

オプション

再現確認診断
診断後、お客様にて脆弱性を修正し、ユービーセキュアにて修正されていること(脆弱性が再現しないこと)を確認する診断です。

よくある質問

どのプランで実施すればいいかわからない場合は、内部脆弱性スキャンサービスを申し込めばよいでしょうか?
お客様の状況をお伺いし、お客様にとって最適なサービスをご提案いたします。まずはフラットにお問い合わせください
今までの内部脆弱性診断サービスと何が違いますか?
大きく2点ございます。 診断手法に「認証スキャン」を含めた点、オンサイト診断でなくても専門コンサルタントの支援が受けられる点となります。
すでにtenable導入していますが、「内製化・導入支援プロ」の支援は受けられますか?
基本的には問題ありません。ご相談ください。
technical-support
PCI DSS SAQ対応支援コンサルティング
QSA資格を有するセキュリティコンサルタントが、セルフチェック(自己問診)形式のPCI DSS準拠状況の評価をサポートします。
security
PCI DSS 準拠支援コンサルティング
サイバーセキュリティに関わる多くの実績・ノウハウやQSAとしての立場を活かし、PCI DSSが要求する12要件に対する効果的な対策をご提供します。
credit-card
カード情報 非保持化支援
コンサルティング
クレジットカード・セキュリティガイドラインで定められる「非保持化」について、実現に向けた対策検討および対策状況評価の支援を行います。
search
PCI DSS 準拠審査
QSA資格を有する審査員による訪問審査を行い、PCI DSSが要求する12要件の準拠状況を評価します。
internet
PCI DSS準拠支援スキャン
ASVによる実施が義務付けられている外部ネットワークシステムの脆弱性スキャンのほか、各種スキャンサービスを提供します。
scan_img
内部脆弱性スキャン
課題に応じた柔軟な対応と内製化支援を通じ、コストとリスクを軽減し、安全な運用をサポートします。

お問い合わせ