SecurityBlanket

SaaS型脆弱性診断ツール「SecurityBlanket」

「SecurityBlanket」はお客様のIT環境のセキュリティ運用を強力にサポートするツールです

CVE、CVSS、OWASP、PCIDSS、CIS benchmarks等の国際的なガイドラインを基準としたレポート

※CVSS(Common Vulnerability Scoring System)	コンピュータ・セキュリティ非営利団体が推進する脆弱性評価システム
※CVE(Common Vulnerabilities and Exposures)	セキュリティに関わる事象、用語等を標準化し辞書を作成するプロジェクト
※PCIDSS（Payment Card Industry Data Security Standard）	会員データを安全に取り扱うことを目的として策定されたクレジットカード業界の国際セキュリティ基準
※OWASP TOP10（Open Web Application Security Project）	OWASPが定期的に発行するWebセキュリティとして警戒をしなければいけない項目のTOP10
※CIS Benchmarks（Center of Internet Security Benchmarks ）	情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドライン

危険度レベル
緊急	パスワード漏えい、管理者権限昇格など、システム全体に影響する問題です。これらの問題が発生する可能性が極めて高く、即日対応する必要があります。
重大	情報漏洩や、なりすましなど、ユーザ被害が発生する可能性が高い問題です。このレベルには、クロスサイトスクリプティングやSQLインジェクションなどの問題があり、インシデント報告やOWASP TOP10などで上位を占めるセキュリティ上の問題です。このことから、早急に対応する必要があります。
高	総当たり攻撃や認証回避など、セキュリティ上の問題が発生する可能性があります。システムの仕様などにより、セキュリティ上必要な対策が実 施されていない場合このレベルに分類されます。問題が発生する可能性があるため、対応を必ず行うことを推奨します。
中	システムの設定情報や管理情報の漏洩等、システムに対する攻撃手段を提供する可能性がある問題です。直接被害が発生する可能性は高くない ですが、他のセキュリティ上の問題と組み合わさるとレベルが上がる可能性があります。問題になる可能性があるため対策を検討してくださ い。
低	バージョン情報表示や、バナー情報表示など、攻撃者の興味を引く可能性のある問題です。直接悪用されるよりは、このレベルの情報から攻撃手 法を絞っていくことがあります。予防するうえで対策を検討してください。
情報	品質やセキュリティのさらなる向上のために弊社が推奨する項目です。

「SecurityBlanket」は専門のエンジニアによる手動診断も組み合わせて実施する事が可能です。
手動の診断結果についても管理画面内にて一元管理が出来るようにご提供しています。
システムの用途、構成、ご予算等に応じて柔軟にご利用頂けます。

	エンジニア手動診断	ツール自動診断
推奨される診断対象	・ECサイト ・大量の個人情報を扱うシステム ・医療／金融関連システム ・新規公開前のシステム ・ログイン機能の有効性確認 ・セッション管理機能の有効性確認	・企業のコーポレートサイトなど、攻撃による影響が小規模と想定されるサイト ・主に静的なコンテンツのみのサイト ・定期的な継続診断利用
メリット	・細部まで精度の高い診断が可能 ・実施の攻撃手法に沿った診断により、セキュリティ対策の有効性が確認可能	・安価で網羅的な診断が可能 ・オンデマンドでいつでも実施可能 ・診断期間が短い（数時間から1日程度） ・診断結果が即時出力可能
デメリット	・エンジニアが稼働する為、費用が高額になるケースが多い ・診断期間が長い（数日から数週間）	・診断項目に制限があり、細部まで診断できない事がある