サイバーセキュリティ診断・コンサルティング「LANSCOPE プロフェッショナルサービス」
目次
- 「LANSCOPE プロフェッショナルサービス」とは?
- 「LANSCOPE プロフェッショナルサービス」一覧
- お客様満足度の高い診断結果報告書
- Webアプリケーション脆弱性診断パッケージ
- ネットワーク脆弱性診断パッケージ
- クラウドセキュリティ診断パッケージ
- サイバーリスク健康診断 / グループセキュリティレポーティングパッケージ
「LANSCOPE プロフェッショナルサービス」とは?
~セキュリティリスクの把握から組織の保護まで~
リモートワークやクラウドサービスの普及によって、以前よりもシステムが分散化し、セキュリティリスクの把握が難しくなっています。そのような状況の中、ビジネス化したサイバー攻撃はますます増加・巧妙化し国内外で猛威を振るっています。
「LANSCOPE プロフェッショナルサービス」はサイバーセキュリティの様々な領域に対して
- 診断・コンサルティング
- 対策
- 監視
という3つの観点から、「リスクアセスメント」を含むコンサルティング・対策導入・運用までのトータルセキュリティを提供し、サイバー攻撃などのリスクから組織を守ります。
「LANSCOPE プロフェッショナルサービス」一覧
| サービス名 | 診断対象 | 見つかるリスク |
|---|---|---|
| Webアプリケーション脆弱性診断 パッケージ | Webサーバー / Webアプリケーション | Webアプリケーションの脆弱性(クロスサイトスクリプティング、SQLインジェクション、認証周りの脆弱性など) |
| ネットワーク脆弱性診断 パッケージ | Web サーバー / ルーター / DNSサーバー / Mail サーバー / FireWall など | ミドルウェアの脆弱性 (Apache、IIS / sendmail / bind など) サーバーOSの脆弱性 (Windows / Linux など) |
| クラウドセキュリティ診断 パッケージ | 【IaaS】 Amazon Web Service / Microsoft Azure / Google Cloud Platform / ニフクラ 【SaaS】 Microsoft 365 / Box / Zoom / Salesforce / Google WorkSpace / Slack | 管理設定ミスによるリスク (基本認証・多要素認証・ユーザー権限の設定など) |
| サイバーリスク健康診断 パッケージ | 自社、あるいは関連会社の外部公開サーバー | 自社や自社グループが把握できていないセキュリティリスク(意図していないサーバー・VPN 機器・ポートの公開など) |
| グループセキュリティ レポーティングパッケージ | グループ会社の外部公開サーバー | 自社グループ会社、関連会社が把握できていないセキュリティリスク(意図していないサーバー・VPN 機器・ポートの公開など) |
お客様満足度の高い診断結果報告書
全ての脆弱性診断に詳細な報告書*1 を提出します。診断結果を受けて、お客様にて改修したシステムを再度診断する「再診断*2」もご用意しています。
| 一目で分かるスコアリング |
|---|
 |
| 経営層への報告用サマリー |
|---|
 |
| 脆弱性の内容・検証例・対策まで解説 |
|---|
 |
* 1 上記は「Webアプリケーション脆弱性診断」の報告書サンプルです。診断サービスによってレポートの内容は異なります。
* 2「再診断」は別途費用が発生します。
Webアプリケーション脆弱性診断パッケージ
Webアプリケーションへの攻撃
サーバー上にあるアプリの脆弱性を突いて不正に侵入しWebページを改ざんし、最終的にサービスを妨害されたり、サーバーを乗っ取ってマルウェアを拡散されたり、情報を詐取されたりします。
| アプリケーションの危険性のイメージ |
|---|
 |
| 原因 | 被害例 |
|---|---|
| ・アプリ開発時の設計、開発ミス ・Webサーバーの設定ミス ・サポート切れや脆弱性が報告されているミドルウェアの使用 | ・サーバーダウン、サービス停止 ・個人情報の漏洩 ・ECサイトにおける価格を改ざんした不正購入 ・信用失墜(マスメディア等の情報公開) |
「Webアプリケーション脆弱性診断パッケージ」は、対象のサーバーに対して脆弱性診断を実施し、外部ネットワークからの脅威に対するリスクを調査・レポーティングします。
| 「Webアプリケーション脆弱性診断」のイメージ |
|---|
 |
| 「Webアプリケーション脆弱性診断パッケージ」の特長 |
|---|
| 経験豊富な専門家によるマニュアル診断と、エムオーテックス社にて独自カスタマイズしたツール診断を実施。 |
| マニュアルでは漏らしてしまう可能性のある脆弱性や、ツールでは発見できないような脆弱性も、ツールとマニュアルを併用することで高い精度の診断が可能。 |
| エムオーテックス社診断用パソコンより、インターネットまたはお客様のLAN 内で対象の Webアプリケーションに対し診断。 |
- リリース前検査など診断ご希望期間内で一般公開していない場合は、エムオーテックス社の診断元 IP アドレスのみアクセスできるようファイアウォールを設定いただければインターネット経由(リモート)で診断可能です。
- 「オンサイト」および「時間外診断」などをご希望の場合は別サービスにてご提案可能ですのでお問い合わせください。
ネットワーク脆弱性診断パッケージ
ネットワークへの攻撃
ネットワーク機器の脆弱性を突いたり、正常な通信を装ったりしてファイアウォールが突破され、サーバーやアプリケーションなど他の領域への攻撃につながってしまいます。
| ネットワークの危険性のイメージ |
|---|
 |
| 原因 | 被害例 |
|---|---|
| ・OS、ミドルウェアの脆弱性、設定不備 ・暗号化通信の不備 ・SSL証明書の不備 ・不必要なポートの解放 | ・サーバーダウン、サービス停止 ・サーバーへのDoS攻撃 ・ファイルの改ざん、削除 ・サーバーを踏み台とした内部侵入 |
「ネットワーク脆弱性診断パッケージ」は、Webページや掲示板、設備予約システムなどの特定のサイトに対し、独自に作り込まれたソフトウェアのリスクを洗い出し、レポーティングします。
| 「ネットワーク脆弱性診断」のイメージ |
|---|
 |
| 「ネットワーク脆弱性診断パッケージ」の特長 |
|---|
| ツール診断は誤検知があります。エムオーテックス社にて誤検知の精査を行い、お客様の確認負担の軽減を実現。 |
| マニュアル診断も実施することで精度の高い診断をご提供。 |
| 弊社診断用パソコンよりインターネットまたはお客様のLAN 内で診断を実施。 |
- サーバー環境において、クラウド利用時であっても“PaaS”としてご利用の場合は、原則プラットフォーム診断の実施を推奨します。
- 「オンサイト」および「時間外診断」などをご希望の場合は別サービスにてご提案可能ですのでお問い合わせください。
- クラウド環境によっては実施が困難な場合がございます。事前にお客様にてご確認ください。
クラウドセキュリティ診断パッケージ
クラウドサービス利用時に発生し得るセキュリティインシデント
公開/共有設定ミス、ゲストユーザー権限の不備、アクセス制御不備などのクラウドサービスの管理設定不備により、セキュリティインシデントが発生した場合、サービス利用者側の責任になりかねません。
| クラウドサービス利用時のセキュリティ課題 |
|---|
 |
| 被害事例 |
|---|
| ・営業管理システムのセキュリティ設定不備から不正アクセスされ顧客情報が漏洩 |
| ・個人所有のデバイスからストレージサービスへのアクセスにより機密情報が漏洩 |
| ・脆弱な認証を突いた ”なりすまし” による不正アクセス |
お客様が契約中のクラウドサービスにおける管理設定上の不備を洗い出し、第三者から攻撃を受けるリスクの有無などについてレポーティングします。
| 「クラウドセキュリティ診断」のイメージ |
|---|
 |
| 「クラウドセキュリティ診断パッケージ」の特長 |
|---|
| 米国政府機関・企業・学術機関などが協力してインターネット・セキュリティ標準化に取り組む目的で設立された団体「CIS(Center for Internet Security) 」が定めたガイドラインが「CIS(Center for Internet Security)ベンチマーク」です。「クラウドセキュリティ診断パッケージ」は、「CIS ベンチマーク」とエムオーテックス社の独自基準による診断をします。 <IaaS> AWS, Microsoft Azure , Google Cloud Platform, ニフクラ <SaaS> Microsoft 365 , Box, Zoom, Google Workspace, Salesforce, Slack |
サイバーリスク健康診断 /
グループセキュリティレポーティングパッケージ
「サプライチェーン攻撃」を想定した対策が必要
比較的セキュリティレベルが低いとされる、中堅/中小企業を最初のターゲットにされやすい「サプライチェーン攻撃」の増加により、自社だけでなく、グループ会社・関連会社・海外拠点の対策も不可欠になっています。管理対象外のサーバーやWebサイトであっても、それがもしサイバー攻撃の発端となった場合、責任が無いとは言い切れないのです。
| 関連会社・管理外のサーバーやWebサイトが攻撃される可能性がある |
|---|
 |
「サイバーリスク健康診断」は、サプライチェーンリスク評価サービス「Panorays*」で評価した結果を報告書にてご報告するサービスです。お客様のサイバーリスクを可視化し、適切な対策のサポートを行います。「グループセキュリティレポーティングパッケージ」は、グループ会社様向けのサービスです。
*Panorays:SaaS型サプライチェーンリスク評価プラットフォームサービス
| 「サイバーリスク健康診断」のイメージ |
|---|
 |
| 「サイバーリスク健康診断 / グループセキュリティレポーティングパッケージ」の特長 |
|---|
| 攻撃者と同じ視点でチェックを実施します。診断対象ドメインに関連するドメイン・IPアドレスの洗い出しを行い、それらに対して網羅的に診断を実施することで「外部から見える脆弱性=把握できていないリスク」の可視化を行います. |
