IT機器・システムの脆弱性評価

 

ECSEC Labは、国際標準であるISO/IEC 17025の要求事項を満たしたITセキュリティ評価機関として認定を受けた組織です。幅広い分野のネットワーク機器やソフトウェアに対してセキュリティ 機能の評価を行うために必要な設備と体制を整えており、数多くのITセキュリティ評価の実績を持っています。その蓄積された技術と経験を生かした、信頼性 の高い「IT機器・システム(ソフトウェア製品分野)の脆弱性評価(以下、IT機器・システム脆弱性評価」)」サービスを提供いたします。

1. IT機器・システム脆弱性評価とは

ネットワーク機器やソフトウェアなどのIT機器やソフトウェアに起因するセキュリティ事故が発生すれば、その被害はIT機器やソフトウェアを導入した企業のみならずその取引先や顧客にまで及ぶ可能性があります。このため、これらのIT製品の機能が、セキュリティの観点から適切かつ確実に提供されていることが重要となります。 「脆弱性評価サービス」は、ネットワーク機器やデータベースソフトウェア、OSなどのIT機器やソフトウェアのセキュリティ機能が適切かつ確実に実装されていることを検査するサービスです。製品分野や用途、使用環境の点から脅威分析を行い、必要とされる機能が適切に実装されており、消費者のニーズに合致するものであるかについて検証します。

2.IT機器・システム脆弱性評価の実施方法

基本的にネットワーク機器や各種ソフトウェアなどセキュリティ製品やネットワークに接続して使用される製品が対象です。

●ご用意いただくもの
対象となるIT製品及びそのマニュアルをご用意ください。ヒアリングにて、製品の使用環境や想定される脅威を確認させていただきます。

●IT機器・システム脆弱性評価の実施方法
脆弱性分析サービスの流れを以下の図に示します。Vulnerability analysis

 

 

 

 

 

 

 

<脅威分析>
マニュアル、ヒアリングなどにより情報を得ることで、製品に想定される脅威分析を行います。

<脆弱性分析>
上記情報を元に脆弱性分析を実施します。

<テスト>
テスト対象のIT機器・システムを使用し、分析結果を元に作成したテストを行い問題の有無を検証します。以下に主なテストの観点を示します。
・Web関連の脆弱性に関するテスト
・ネットワーク関連の脆弱性に関するテスト
・危険な機能の悪用テスト(設定や使用方法に起因するもの など)
・Webやネットワーク関連の脆弱性の悪用テスト

<報告書>
分析結果を報告書にて提供いたします。

「IT機器・システム脆弱性評価」サービスはニーズにあわせて実施方法をカスタマイズすることも可能です。
・開発設計資料などを用いて、より精度の高い分析をしてほしい。
・一部のみ(たとえば脆弱性分析のみ など)を実施してほしい。

3. 期間とコスト

IT機器・システム脆弱性評価に必要な日数や費用は、分析範囲やテスト項目などに依存します。
分析範囲が広い場合、より詳細なテストを行うことが可能となるため、高い精度での検証が可能となります。
具体的なサービス内容はご希望に応じてお見積もり致しますので、お気軽にご相談ください。


  
 お問い合わせ

   評価又は試験のご依頼、ご質問、ご相談は、下記までお気軽にお問い合わせください。
   電子メールでの質問も受け付けています。

      ■電話      03-5259-8061
      ■電子メール   labinquiry@ecsec.jp