ホーム PCI DSS イベント 会社概要  
情報セキュリティ監査
情報セキュリティ強化支援
認証取得支援
PCI DSS審査サービス
PCI DSS準拠支援
PCI DSS ASV検査
侵入検査
技術監査
内部統制支援
システム監査サービス

2009年7月の海外の国家機関に対するサイバーテロに見られるように、情報セキュリティに対する脅威は日々増加してきています。 
利用されている侵入や妨害の手口はますます巧妙かつ悪質になってきており、企業や組織はそのような組織的犯罪者からの脅威に対しても今まで以上に万全の対策を講じる必要があります。 
セキュリティ監査やセキュリティ評価の一環として、定期的にネットワークやWebアプリケーションの脆弱性検査は実施することはリスク管理上常識となっておりますが、ますます巧妙、悪質化する脅威には、それに加え、情報セキュリティの専門家による侵入検査が不可欠です。 

下記の2つのメニューをご用意して、業界最高レベルの検査サービスをご提供いたします。
 

 

サービスの内容

・ハッキング技法に精通した技術者により侵入検査サービスを実施します。
-市販やフリーや自前などの複数のツールを組み合わせて、脆弱点を抽出
-見つかった脆弱性に対して、手作業でさらに深く検査を行い、侵入を実施
-これらとその具体的な対応策を報告書としてまとめ、報告会を実施
・侵入行為のシュミレーションを実施し、お客様側でどのように検知され、インシデント対応がなされたかを演習を行います。 (オプション)
-事前の打ち合わせに基づき、侵入、メールなどでセキュリティインシデントの発生をシュミレーション
-システムでの検出状況や関係者の報告・対応状況を、時間を追って調査
-それらをレポートとしてまとめ、問題点を指摘


 

サービスの特徴

  • 米国で実績の豊富なセキュリティ専門家によるサービスの提供
    -米国パッチアドバイザ社(PatchAdvisor Inc. )と業務提携を行い、セキュリティ 先進国米国での最新の情報や攻撃手法に基づき、侵入検査やサイバーエクササイズを 実施。
    パッチアドバイザ社は、昨年米国連邦捜査局(FBI:Federal Bureau of Investigation)の侵入検査を実施し、6時間で犯罪者DBへの侵入を可能するアタック方法を発見(Computeworld 2008年5月27日記事
       
  • 自由度の高いテーラーメードサービス
    -基本的なネットワークやWebアプリケーションの侵入検査だけではなく、無線LANやモデム、ホストシステムなど、柔軟に対応することが可能。お客様のビジネスニーズやシステム環境に応じて、費用対効果の高い最適なテストを実施
  • ベンダーから中立のサービス
 

対象のお客様

  • 重要インフラ関連
    -通信、鉄道、航空、電力、ガス、水道、医療など、社会インフラを担っている会社
    -脆弱性検査は定期的に実施しているが、さらに侵入検査でセキュリティホールの有無を確認したい
    -インシデント対応のプログラムはあるが、実際に問題をどのように発見・対応できるか演習を行いたい
 

サービスの効果

  • 現在、実施している情報セキュリティ対策が実際のテロなどの脅威に対してどの程度対応可能か実証することができます。
    -脆弱性管理の漏れや抜けの状況が分かります
    -インシデント管理の成熟度合いが分かります
    -今後のセキュリティ強化のポイントが分かります
 

サービスご提供の流れ

  • 1. 事前お打合せ、サービスの目的と範囲、方法の合意
    2. 作業計画書のご提出
    3. 作業計画書に基づいた侵入検査作業の実施
    4. インシデントの検知や対応状況の確認(オプション)
    5. 検査結果報告書の作成
    6. 報告会の実施


・US Department of Defense[米国国防省]
・Federal Bureau of Investigation[FBI:米国連邦捜査局]
・National Institutes of Health[米国国立衛生研究所]
・US Department of Energy[米国エネルギー省]
・US Department of Agriculture[米国農務省]
・Import-Export Bank of the United States[米国輸出入銀行]
・SMDC Health System[SMDCヘルスシステム社]
・Washington Gas[ワシントン・ガス社]

サービスの内容

  • PCI DSS要件11.3で規定されるペネトレーションテストを実施いたします。
    -見出された脆弱性に対して攻撃を試み、不正アクセスなどの悪意のある行為が可能か判断
    -ネットワーク層、アプリケーション層両方でのテストを実施
    -カード会員データ環境と接続するすべてのシステムを対象



サービスの特徴

  • PCI DSSの専門家であるビジネスアシュアランス社とペネトレーションテストの専門家とのコラボレーション
    -米国パッチアドバイザ社(PatchAdvisor Inc. )と業務提携を行い、セキュリティ 先進国米国での最新の情報や攻撃手法に基づき、ペネトレーションテストを 実施
    -ビジネスアシュアランスの豊富なPCI DSSのノウハウを組み合わせてサービスを提供
  • 自由度の高いテーラーメードサービス
    -基本的なネットワークやWebアプリケーションの侵入検査だけではなく、無線LANやモデム、ホストシステムなど、柔軟に対応することが可能
    -カードデータ、カードシステム以外の幅広い領域へも対応
    ・ベンダーから中立のサービス
    -システム構築、ツール導入とは独立し、中立の立場からサービス提供。 

 

対象のお客様

  • PCI DSS対象のお客様
    注)ペネトレーションテストは、経験豊富な人材で、テスト対象システムの管理に関与していない人が実施する必要があります。
     ペネトレーションテストの専門家により、脆弱性検査とは独立して実施することで、多面的な角度からセキュリティを検証できます。

 

サービスの効果

  • PCI DSSの要件に適合します
  • ハッカーやサイバーテロなどの重大な脅威に対しての対応状況がわかります
    -脆弱性管理の漏れや抜けの状況が分かります
    -今後のセキュリティ強化のポイントが分かります

 

サービスご提供の流れ

  • 1. 事前お打合せ、サービスの目的と範囲、方法の合意
    2. 作業計画書のご提出
    3. 作業計画書に基づいた侵入検査作業の実施
    4. 検査結果報告書の作成
    5. 報告会の実施
    6.PCI DSS順守へのアドバイスの提供(オプション)