MBSD® MBSD®

要塞化支援サービス

要塞化支援サービス(サーバ構成診断)とは

要塞化支援サービス(サーバ構成診断)は実際のサーバへログインし内側から潜在的なリスクを洗い出すアセスメントです。パスワードポリシーやサーバの設定不備といった外部からの脆弱性診断では露見しないような問題を洗い出すことが可能です。サーバをより堅牢に運用したい場合に有効です。

サービスの内容

要塞化支援サービス(サーバ構成診断)は実際のサーバやクラウド環境へログインし、CIS認定のスキャナをベースに内側から潜在的なリスクを洗い出します。サーバの設定不備、潜在リスク、ログ取得の正確性、パスワードポリシーなど約200項目にもおよぶ監査項目をチェック、分析し、ご報告いたします。

要塞化支援サービスのイメージ

サーバ環境における設定検査

  • サーバ構成診断(Redhat Linux)
  • サーバ構成診断(CentOS)
  • サーバ構成診断(Windows Server)
  • サーバ構成診断(AIX) など

バージョンによってはお受けできない場合もございますので、サーバの対応可否やバージョンやサーバごとの監査内容についてはお問い合わせください。

AWS環境にも対応しており、AWSマネージドサービス(AWS Identity and Access Management (IAM)、AWS Config、AWS CloudTrail、AWS CloudWatch、AWS Simple Notification Service (SNS)、AWS Simple Storage Service (S3)、AWS VPC)における、サーバ設定不備、潜在リスク、ログ取得の正確性、パスワードポリシー、監視設定、S3バケットにおける問題などの監査項目をチェック、分析し、ご報告いたします。

AWS環境にも対応

CISとは

CIS(Center for Internet Security)はアメリカ合衆国ニューヨーク州に拠点を置く非営利団体で、全世界のITコミュニティのちからを使い、サイバーの脅威から保護することを目的として活動しています。CIS Benchmarksは、脅威にさらされる可能性があるOS/ソフトウェア/ネットワークを保護するためのガイドラインとして作成され、40種類以上のプラットフォームに対応しています。本サービスでは、CIS認定のスキャナであるNessus Professionalをベースにセキュリティ上の問題となる可能性のある設定を調査いたします。

サービスの特徴

Topic1:サーバのセキュリティを客観的に評価

ベースラインに基づいて設定値を確認していくため、サーバのセキュリティレベルを客観的に判断することが可能です。

Topic2:外部からのリスク評価で露見しない問題を指摘

脆弱性診断は外部からの調査となるため、社内からの不正アクセスリスクや潜在的なリスクについては検証や対処が困難となっています。一方、要塞化支援サービスでは、サーバ内部から状況を評価するため、正確に評価/分析することが可能です。

準備

対象を選定し、対象サーバの構成(OS、ソフトウェア、管理者権限のID/パスワード)や接続方法、パスワードポリシーなど監査に必要な情報について確認を行います。

作業

ツールでのチェックのほか、追加で情報収集を行い、監査の補助となる情報を収集します。

評価

ツールの実行結果と事前の確認事項の結果を合わせて評価します。

報告

評価の結果を報告書にてご報告いたします。