 |
時間も手間もいりません!簡単な入力だけで御社のセキュリティリスクをお調べいたします! |
神戸デジタル・ラボ(KDL)が主催・参加する
セキュリティセミナーを紹介していますので、
ぜひご覧ください!
お客様とのトラブルは避けたい。
契約段階で明確に取り決めをすることでトラブルは回避できます。
小冊子プレゼント
神戸デジタル・ラボ(KDL)が作成した、Webセキュリティの現状と対策が一目で分かる小冊子をプレゼントしています。
最新のセキュリティ情報を随時配信!
| 2011/ 11/2 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【コンピュータセキュリティシンポジウム2011】経産省受託案件の展示と論文発表』 |
| 2011/ 10/31 |
「セキュリティ研究」にコンテンツを追加しました!2011年10月26日(水)から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたしました。 |
| 2011/ 10/27 |
「ルール&チェック All-in-One」サービスを追加しました!Webサイト全体のセキュリティレベルを向上させるためのサービスを追加しました。 |
| 2011/ 10/27 |
「プレスリリース」を追加しました!株式会社神戸デジタル・ラボは、自社サイトのセキュリティ水準を担保する包括サポートサービス「ルール&チェック All-in-One」を2011年11月1日より開始します。 |
| 2011/ 10/26 |
「セキュリティ研究」にコンテンツを追加しました!Apache HTTP Serverのリバースプロキシ機能(mod_proxy)にリバースプロキシを迂回して内部LANにアクセスできる脆弱性が発見されました。 |
| 2011/ 10/18 |
「アンドロイドセキュリティ診断」サービスを追加しました!Android OSを対象としたアンドロイドセキュリティ診断サービスを追加しました。 |
| 2011/ 10/18 |
「プレスリリース」を追加しました!株式会社神戸デジタル・ラボは、スマートフォンやタブレットPCなどのAndroid端末向けセキュリティ診断サービス「ProactiveDefense for Android」を、2011年10月24日より開始します。 |
| 2011/ 10/05 |
「セキュリティセミナー情報」を追加しました!2011年10月26日(水)から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたします。 |
| 2011/ 10/05 |
「セキュリティセミナー情報」を追加しました!2011年10月19日(水)から3日間、情報処理学会コンピュータセキュリティ研究会主催による 「コンピュータセキュリティシンポジウム2011 (CSS2011)」にて研究発表を行います。 |
| 2011/ 06/15 |
「お客様の声」を追加しました!「株式会社エルネット様」 |
| 2011/ 04/18 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【OSC関西/神戸】MistyGateとGlobal Incident Monitorの展示』 |
| 2011/ 04/18 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【神戸ITフェスティバル】MistyGateとGlobal Incident Monitorの展示』 |
| 2011/ 04/15 |
「セキュリティ対談」にコンテンツを追加しました! テーマ:『「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公表されました』 |
| 2011/ 03/11 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【経済産業省シンポジウム】経産省受託案件の成果報告会発表』 |
| 2011/ 03/07 |
「セキュリティセミナー情報」を更新しました!3月10日(木)に「平成22年度新世代情報セキュリティ研究開発シンポジウム」にて研究発表を行います。 |
| 2011/ 03/05 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【情報処理学会全国大会】経産省案件の展示と論文発表』 |
| ●1. | 機密情報を扱いますので、お客様と機密保持契約書(NDA)の締結を行います。 |
| ●2. |
KDLにてお見積を行います。 ※また、もし何かしらのデータを入力していないと表示されないページ(会員情報の編集ページ等(会員情報が入力されていないと通常表示されない))があるのであれば、データが入力済みであるか、弊社でのデータ入力を許可して頂く必要があります。 |
| ●3. | 作成したお見積書をご提出致します。 |
| ●4. | お客様からご発注の意思を確認させて頂いた時点で、基本契約書の締結を行い、注文書を頂戴致します。 |
| ●5. | お客様ご担当者との事前お打合せを実施致します。 診断方法の内容やリスク等をお伝えするとともに、診断の実施日、問題発生時の連絡体制の確認を行います。 |
| ●1. | 事前お打合せで決定した日程に従いまして、診断を実施いたします。 |
| ●2. |
診断実施中に、緊急度の高い深刻な問題が発見された場合は「速報」として問題点と解決策を記載したレターを、メール添付して速やかにお客様担当者に送付いたします。 従いまして、もし1件も深刻な問題が発見されなかった場合は、速報は提出致しません。 |
| ●3. | 最終的に、速報で提出した問題点も含めて一冊のご報告書にまとめまして、お客様にご提出致します。 |
| ●4. | ご報告書提出の際は、お客様先オンサイトにて、ご報告会を開催させて頂きます。 ご報告会では、報告書に記載の内容に対して必要に応じてより詳細なご説明を行ったり、各種ご質問に対してのQ&Aを実施致します。 |
| ●認証 (Authentication) ※認証を使用しているウェブサイトで適切に認証が実施されているか診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| 総当たり攻撃 (Brute Force) |
IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。 |
| 不適切な認証 (Insufficient Authentication) |
正常なログイン処理を介さずにログイン後の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。 |
| もろいパスワード復元の検証 (Weak Password Recovery Validation) |
ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。 |
| ●承認 (Authorization) ※認証後のセッション管理やパスワード管理に問題が無いか診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| セッションの推測 (Session Prediction) |
セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。 |
| 不適切な承認 (Insufficient Authorization) |
承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。 |
| 不適切なセッション期限 (Insufficient Session Expiration) |
セッション期限が不適切である場合、ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。 |
| セッションの固定 (Session Fixation) |
攻撃者が任意のセッション情報を使って管理者やユーザに成りすますことができます。 |
| セッションの盗難 (Session Hijack) |
SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。 |
| ●クライアント側での攻撃(Client-side Attacks) ※クライアント側から行われる攻撃に対する診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| コンテンツの詐称 (Content Spoofing) |
偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。 |
| クロス・サイト・トレーシング (Cross Site Tracing) |
ウェブのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。 |
| クロス・サイト・スクリプティング (Cross Site Scripting (XSS)) |
サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。 |
| クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgery (CSRF)) |
サイトをまたがって不正な要求を送り、ユーザが意図していない操作を実行させられてしまいます。例えば、ユーザが意図しないままオンラインショップで買い物をさせられたりしてしまいます。 |
| ●コマンドの実行(Command Execution) ※コマンド実行により行われる攻撃に対する診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| バッファ・オーバフロー (Buffer Overflow) |
アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。 |
| 書式文字列攻撃 (Format String Attack) |
入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。 |
| LDAP インジェクション (LDAP Injection) |
LDAPコマンドを不正に使用されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| OS のコマンド実行 (OS Commanding) |
サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| SQL インジェクション (SQL Injection) |
DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| SSI インジェクション (SSI Injection) |
SSIコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| XMLインジェクション (XML Injection) |
XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| パラメータ改ざん (Parameter Manipulation) |
パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。 |
| スクリプトの実行 (Script Execution) |
許可していないスクリプトを実行されてしまうため、情報の漏えいやウェブサイトの改ざんを許してしまいます。 |
| ●情報漏洩(Information Leakage) ※ウェブサーバから情報が漏えいする可能性が無いか診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| ディレクトリ・インデックシング (Directory Indexing) |
ウェブサーバ内のファイルを閲覧されることにより、ウェブサーバ攻撃の足がかりとされてしまいます。 |
| 情報漏洩 (Information Leakage) |
ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。 |
| パスの切り換え (Path Traversal) |
ウェブブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。 |
| 推測可能なリソースの位置 (Predictable Resource Location) |
フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。 |
| ウェブサーバ・アプリケーションの特定 (Fingerprinting) |
ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 |
| ●ロジックを狙った攻撃(Logical Attacks) ※ウェブサーバやウェブアプリケーションの持つ機能を狙った攻撃が可能か診断を行います。 |
| 診断内容 | 脆弱性が存在することによって被る被害 |
| 機能の悪用 (Abuse of Functionality) |
ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM(メールを大量配信すること)の中継地点に使われるなど、悪用されてしまいます。 |
| サービス拒否 (Denial of Service) |
ウェブサーバのサービスを停止、もしくは低下させられてしまいます。 |
| 自動化の停止が不適切 (Insufficient Anti-automation) |
ロボットなどによるウェブサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、ウェブサーバに負荷をかけられたりしてしまいます。 |
| 不適切なプロセス検証 (Insufficient Process Validation) |
正常な画面遷移を無視して特定の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。 |
| ●その他 |
| その他、上記以外の診断方法で問題があれば報告致します。 |
