ポイント解説

(A) SCT SECURE証明マーク

SCT SECURE - Secure Site
 
SCT SECURE - Secure Site
↑CLICK!
SCT SECURE証明マークをクリックすると、SCT SECUREサーバからセキュリティ証明書が表示されます。
  • SCT SECURE証明マークは、毎日の厳しいセキュリティテストに合格したWebサイトに表示されます。
  • SCT SECURE証明マークは、SCT SECUREサーバから自動的にダウンロードされ、マークをクリックすると、セキュリティ証明書が表示されます。
  • 検査に不合格になるとWebサイト上からSCT SECURE証明マークは自動的に消えてしまいます。

元に戻る

(B) SCT SECURE 診断サービス基本フロー

  1. インターネットを介してお客様のWebサイトを毎日自動的にスキャン(検査)します
    ○Webサイトだけでなくサーバやネットワークデバイスまでをスキャン
    ○検査項目は10000項目以上
  2. スキャン(診断結果)を毎日レポートします。
    ○サイトの安全性を5段階でわかりやすく評価
    ○レポートはWebベースの専用コンソールでブラウズ
    ○レポートはプリントアウトも可能な上、ログとしても残せる
  3. スキャンにより安全が認められた場合、お客様のサイトにSCT SECURE安全証明マークが表示されます。
    ○検査に不合格になると証明マークは自動的に消滅
  4. スキャンにより不合格と診断された場合
    ○警告メールを発信
    ○専用コンソールで脆弱性を確認後、SCT SECUREが提供する対処方法に従って、お客様が脆弱性を修正

※警告から72時間以内に、修正が確認された場合、お客様のサイトにSCT SECURE安全証明マークを維持できます。

以上のサービスが、毎日、自動的に実行されます。

元に戻る

(C) SCT SECURE  セキュリティ診断サーバ

リモートスキャンイメージ

  • SCT SECUREのセキュリティ診断は3つのフェーズで毎日実行されます。
  • フェーズ1は情報収集フェーズです。スキャン対象デバイスの開いているポートを検出するために、ポートスキャンを実行します。お客様のファイアーウォールやIDSのブロックによりスキャンが長時間にわたる場合がございます。もしお客様の方ですべてのポートを確実にスキャンしたいのであれば、ブロックされないようにSCT SECUREのスキャン元IPを除外リストに登録していただく必要があります。(マスターカードのSDPコンプライアンスにも同様な要求がされています。)
  • フェーズ2では、それぞれ開いているポートに対して応答信号を送信し、タイプ・バージョンを含む正しいサービスが稼動しているかどうか調査します。その後、各ポートに対してサービス特有の一連のテストを開始します。DNS、SMTP、SSH、FTP、HTTP、SNMPなどの各サービスに対し、サーバーやサービスの情報、レスポンス結果との照合などにより、既知の脆弱性をテストします。
  • フェーズ3では、 Webアプリケーションのテストを行います。HTTPサービスと仮想ドメインに対して、潜在的な危険性のあるモジュールの存在、構成の設定、CGIやその他のスクリプトをテストします。その後、Webサイト上でFormを探索します。発見したFormを特定の方法で起動させることで、コード発覚・クロスサイトスクリプティング・SQLインジェクションなどのアプリケーションレベルの脆弱性を検査します。設定ミスやコーディングエラー脆弱性を明確にするために汎用的なテストと、各ソフトウェア向けのテストを実施します。

 

元に戻る

(D) webベースの専用コンソール

  • SCT SECUREでは、サービスに関する全ての設定を、お客様専用サイトから行います。
  • 使いやすいインタフェースで、Webサイトがどのような脆弱性を抱えているのかを常に把握することができます。

Webベースコンソールイメージ

元に戻る

(E) 完全リモート診断(スキャン)

  • SCT SECUREFの検査は、インターネットを介したリモートスキャンで行います。
  • 最新の脆弱性データベースを組み合わせ、スーパーハッカーによるハッキングテストと同等の技術レベルで、検査を行います。

完全リモート診断イメージ

元に戻る

(F) 脆弱性データベース

  • SCT SECUREセキュリティ検査サーバの脆弱性データベースは、15分ごとに世界中の数百にも上る脆弱性ソースを自動で参照し、自身のデータベースを更新しています。

脆弱性データベース イメージ

元に戻る

(G) 診断項目

  • SCT SECUREは、Webサーバだけでなく、ルータ、Firewall等の機器類、DNSサーバ、DBサーバ、メールサーバ等のサーバ類、WindowsやUNIX/LinuxなどのOS、各Webアプリケーションに対しても検査することができます。

●OS

  • Windowsの全バージョン
  • UNIXの全バージョン
  • Linuxの全バージョン等

●サービス

  • 全データベースサーバ
  • Eメールサービス
  • ニュースサービス
  • チャットサービス等

●攻撃対策

  • クロスサイトスクリプティング
  • CGIとFROM処理の脆弱性
    (SQLインジェクションを含む)
  • ブルートフォース攻撃
  • デフォルトパスワード等

●デバイス

  • 各社ルータ
  • 各社ロードバランサー
  • 各社Firewall
  • 各社アドレススイッチ等

●ウィルス

  • バックドア
  • リモートコントロール
  • トロイの木馬プログラム等

●プロトコル

  • SSL(情報暗号化)
  • SMB(ファイル共有・プリンタ共有等)
  • NetBIOS
  • ICMP(ping等)
  • 全HTTPサービス
  • SNMP(シンプルネットワーク管理)
  • SMTP(シンプルメール送信)
  • UDP(ユーザーデータグラム)
  • FTP(ファイル転送)
  • Telnet(遠隔操作)等

●その他

  • RPC(リモートプロシージャーコール)
  • SOAP
  • その他のXMLサービス
  • リモート管理アクセス
  • リモートデータベースアクセス
  • リモートファイルアクセス
  • 全TCPポート
SCT SECUREは
毎日お客様の指定した時間に
合計10,000項目(※)を超える
検査項目をリモートから実行します。

(2006年1月1日現在)

※Webサーバだけでなく、ルータ、Firewall等の機器類、DNSサーバ、DBサーバ、メールサーバ等のサーバ類、WindowsやUNIX/LinuxなどのOS、各Webアプリケーションに対しても検査することができます。

元に戻る

ページTOPへ