SecPoint脆弱性診断ツール

(1)

SecPoint脆弱性検査ツール

（ペネトレーションツール）

ブルースター株式会社

1

(2)

北欧製脆弱性検査ツール／アプライアンス

WEBサービス、社内ネットワーク、Wifiの脆弱性を手動・定期的に検査することができるソフ

トウェア・アプライアンス。

•

ファイヤウオール、ルータ、WEBサーバ、ＤＢサーバ、WordPress、メールサーバ、各プラットフォームのパソコン、プリンタ、モバイルデバイス等への脆弱性を診断

• 6万件強の脆弱性情報をもとに診断。毎月平均500件を追加

主要脆弱性情報元：Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB

• 700以上の実際のエクスプロイトを実行可能

•

新たな攻撃手法はシグネチャにて提供

•

診断項目はプルダウンで指定可能で使いやすい

• PDF､XMLによるレポート生成機能(英語だけど）

• WEPの暗号キーを解読可能。WPA2はリストとランダム生成にて解読可能かを調査可能。

暗号キー強化の必要性有無を診断可能

• DoSとDDoS攻撃のエミュレーション機能

• Windows/Mac/Linux/vmware/Hyper-Vと、アプライアンスをご用意

•

同時利用IP数(同時検査稼動セッション)によるわかりやすいプライシング

• 1年と３年の利用権で販売

•

ノードとホスト構成で複数台のノードで検査を行い、ホストで包括処理が可能。

英国で50ノードの実績あり

2

(3)

検査可能な○と×

検査可能なもの

• WEBサービスなどのDMZセグメントに配置されたサーバ

•

社内利用端末や社内サーバ

•

社内のSIP電話機、プリンター、ルーター、複合機などのネットワーク機器

•

社外からルーター、ファイアウオール、プロキシサーバー等

•

社内利用パソコンへの外部からの浸入

• Wi-Fi通信方法における脆弱性

•

パソコンのブラウザやアプリに起因する脆弱性

(エクスプロイトツール)

検査不可能なもの

•

スマートフォンのアプリプリケーションがもつ脆弱性

•

某国諜報機関が仕掛けたルーター装置へのルート権限バックドアの発見

•

全く未知の脆弱性

• TCP/IP通信を伴わないもの

•

脆弱性をついた攻撃を断続的に行うと対象アドレスからのアクセスを一時的に拒否する装置を装着している場合

3

(4)

使いやすいユーザインターフェース

日本人にも扱い易いユーザインターフェース

•

スケジュールを指定し定期的に監査を実施

4

(5)

スキャン指定画面

フルスキャン、OWASP Top10、PCI DSS監査基準、HIPAA法準拠、ファイアウオール用などを必要に応じてプルダン選択し実行。使いやすい！

5

(6)

Wi-Fi暗号キー脆弱性検査

Wi-Fiはビルなど施設内に侵入しなくても屋外か

ら社内ネットワークへ侵入が可能であるため、

暗号キーの脆弱性検査は非常に重要です。

スーパー、百貨店、空港、役所などは特に重要１2億件弱のキーリストでアタック可能です。

暗号キーを失念した企業へのサービスとしても活用されています。

Realtek RTL8187L,

Ralink(MediaTek) RT3572,RT2770 Atheros AR9271

を使用した無線LAN子機のドライバが標準搭載されています。

ONKYO UWF-1で動作確認済

6

(7)

用途別組み合わせ例

WEBなど外部から脆弱性診断 WEBなど外部から脆弱性診断 WiFi脆弱性検査や可搬利用

• Linux組込型機器の脆弱性診断を

自社で行いたい製造業様

•

顧客企業のLANセグメントからの脆弱性検査を行いたい

•

顧客企業のルータ自身の脆弱性検査を行いたい

•

脆弱性検査には長時間を要するため専用パソコンの導入を推奨

•

アプライアンス版のPenetratorは、

同時に複数IPアドレスを診断することができるため、効率的な診断が可能

•

自社でLinux組込型機器の脆弱性診断を頻繁に行いたい企業様

•

操作はPCからネットワーク経由でウェブブラウザにて行う

• vmware ESX, Hyper-V版もご用意

•

契約だけで即利用開始可能

•

クラウド版のPenetratorは、同時に複数IPアドレスを診断することができるため、効率的な診断が可能

•

自社で機器を管理せず、脆弱性をインターネット越しで利用したい企業に最適

Wifi脆弱性検査専用無線LANモジュール (ONKYO UWF-1)

Wifi脆弱性診断を行う場合には、

クアッドコアのCore i5/i7を推奨 (SSDドライブ必須)

7

(8)

機能詳細

●セキュリティ監査機能

・脆弱性診断

・6万件強の脆弱性情報

・数量無制限の監査

・豊富な監査オプション

・700以上の実際のエクスプロイトを起動

・全てのOSのセキュリティ監査

・自動ウェブクロールのスクリプト

・OSに依存しない操作画面

・SANS Top 20

・マルウェア検知

●簡単なレポート出力

・XML、PDFやHTML形式のレポート出力

・自社ロゴをいれてのレポート生成機能

・syslog遠隔ログ機能

●セキュリティ監査

・遠隔地のセキュリティ監査を集中管理

・集中管理による包括レポート

・集中管理によるデータ保管

・集中管理制御で包括管理

●セキュリティ監査設定

・仮想ホスト監査

・特定ポート監査

・特定URL監査

・レポート生成時にメール通知

●脆弱性情報主要収集元

・Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB

●特定アプリの脆弱性診断

・Wordpress, Drupal, Magento, Shopify, Umraco, Joomla, Webshops等

●クロスサイトスクリプティングやＳＱＬインジェクション等

・自動的にウェブページをクロールしての診断

・クロスサイトスクリプティング検知(XSS)

・ＳＱＬインジェクション検知

・ウェブエラー検知

・ブラックハットＳＥＯ検知

・グーグルハックＤＢ検知

●WiFi脆弱性診断

・WEP,WPA, WPA2の脆弱性診断

・WPSを用いたクラック

・WEP暗号解除クラック

・11億件の暗号キーリストを用いた攻撃

●マルチユーザサポート

・マルチユーザ同一接続機能

・ユーザ毎の異なる監査オプションと同時利用IP数指定

・ユーザ毎の異なるセキュリティレベル

・管理者とユーザ権限の設定

●スケジュール実行監査

・定期的な監査実行

・新たな脆弱性発見時のアラート機能

・新規脆弱性発見時に古い脆弱性と比較しセキュリティレベルの差を警告

●アップグレードが可能なスケーラビリティ

・ソフトウェアライセンスにてアップグレードが可能

・初期投資を最小限に抑制

●脆弱性診断

・実際のエクスプロイトを起動して、Windows、Unix，ルータやファイアウオール等の診断を実施

・DoS攻撃を実施

・DDoS攻撃を実施（要攻撃機）

●自動更新で常に最新

・毎日のシグネチャ自動更新機能で常に最新

・自動ファームウェア更新機能

・アップデート機能の集中管理

・ライセンス有効期限が切れていた場合の警告機能

・WebUIによる管理画面でのマニュアル適用

●サポートとメンテナンス

・1年間か３年間のサブスクリプションライセンス

・httpsによる管理インターフェース

・簡単なセットアップウイザード

・設定情報のバックアップ＆リストア

・syslog経由での警告電子メールとログ記録

・自己診断機能を内蔵

●主要脆弱性スキャン

WAS(Web Application Scanning)、Google Hack Database、Google Safe Browsing Checks、

Forum and 50 Other Black List checks、Blackhat SEO Scanningなど

●セキュリティ診断プロファイル

・Quick Scan

・Quick Web Scan

・Normal Scan (1万件の推奨スキャン）

・Full Scan (6万件全リストによるスキャン)

・Firewall Scan (ファイアウオールへのスキャン)

・OWASP Top 10

・PCI DSS (クレジットカード情報を扱う上でのグローバルセキュリティ基準)

・HIPAA法 (医療保険の相互運用性と説明責任に関する法律)

・Agressive DoS

8

(9)

ライセンス購入ガイド

•

社内LAN (Class C)

• PCI DSS、HIPAA法に基づき社内LANの脆弱性検査を行う場合、Class CのIPア

ドレスの場合は256個のIPアドレスを調査します。

• 1 IPライセンスを購入した場合は、１台づつ調査されるため2時間×256台で、

検査に約500時間を要します。(Core i7パソコンの場合)

• 256 IPライセンスを購入した場合は、256台が同時に調査されるため、2時間で

検査が完了します。

• OWASP Top 10

• 1つのWEBサーバに対しては単一IPである可能性があるため、OWASP Top 10の

プロファイルに基づき、約3時間のスキャンで完了します。(Core i7の場合)

• DBサーバ、複数のサブドメインがある場合には、1IPライセンスを購入した場合

は、１台づつ調査され3時間×調査対象＝検査時間となります。

• WEBサービスへの脆弱性検査を事業とする場合には、同時スキャンIP数を複数

個持たれることをお勧めいたします。

• SIP電話機、ルータ、IoT端末

•

フルスキャンを行うため１端末あたり約6時間を要します。複数台を同時に検査する場合は、6時間×調査対象＝検査時間となります。多くの端末を調査する必要がある場合には、同時実行が可能な複数IPライセンスのご購入をお勧めいたします。

9

(10)

10

2018/4/10

脆弱性検査を行い、Information以外の危険性(Low/Mid/High)が報告されなくなった場合には、以下の「検査済みマーク」をご利用頂けます。

マークは、サイト上表示、機器への貼り付け、マニュアルへ印刷など幅広くご利用頂けます。

脆弱性検査済みマークをご用意しました

(11)

プライシング:ソフトウェア版 Portable Penetrator

Windows/Mac/Linuxのパソコンに導入して利用する可搬型のPenetratorです。

VMware player上にて稼動します。Wi-Fi脆弱性検査サービスにも活用できるモデルです。

VMware ESX, Hyper-V上で稼動させ顧客へ脆弱性検査クラウドサービスを提供可能です。

可搬型での利用の際は、別途Corei7クラスのパソコンが必要となります。

【初回パッケージ・VMwareイメージのDVD-ROM付】

1 IPライセンス 1年 ¥64,000 3年 ¥105,000

8 IP 1年 ¥243,000 3年 ¥433,000

32 IP 1年 ¥438,000 3年 ¥780,000

64 IP 1年 ¥588,000 3年 ¥1,053,000 512 IP 1年 ¥1,433,000 3年 ¥2,565,000

無制限

IP 1年 ¥2,600,000 3年 ¥4,668,000

【リニューアル】

1 IPライセンス 1年 ¥54,000 3年 ¥96,000

8 IP 1年 ¥229,000 3年 ¥406,000

32 IP 1年 ¥414,000 3年 ¥739,000

64 IP 1年 ¥556,000 3年 ¥999,000

512 IP 1年 ¥1,356,000 3年 ¥2,436,000

無制限

IP 1年 ¥2,444,000 3年 ¥4,439,000

11

※同時スキャンを行うIPアドレス数によるわかりやすい価格体系です。1年間利用と大変お得な３年の利用権で販売しております。

診断には時間を要するため、同時にライセンス数以上の複数サイトを診断しない限り、無制限にサイトを診断していただけます。

(12)

プライシング:脆弱性診断 Cloud Penetrator

【契約だけで即利用可能なSaaS】

1 IPライセンス 1年 ¥45,000 3年 ¥86,000

8 IP 1年 ¥247,000 3年 ¥528,000

32 IP 1年 ¥857,000 3年 ¥1,680,000

64 IP 1年 ¥1,158,000 3年 ¥2,313,000

512 IP 1年 ¥2,313,000 3年 ¥3,693,000

12

※インターネット越しでのクラウドサービスとなるため、診断先にはWAN側より到達可能である必要があります。

(13)

オプショナルサービス

弊社では顧客企業様のご必要に応じたプロフェッショナルサービスを提供しております。

【レポート出力された脆弱性への解決アドバイス】

•

メールベース：10万円／脆弱性１件

•

ミーティング：40万円／ミーティング(60分) 東京近郊のみ

1時間延長あたり20万円

【その他】

•

脆弱性診断方法アドバイザリー：150万円/件

•

社内ネットワーク、WAN、DMZセグメント

• WiFi脆弱性診断方法アドバイス：200万円/件

【キッティング】

•

ノートパソコン組込：20万円/台

•

ソフトウェア版Penetratorを支給ノートパソコンへの組込

•

最新版ファームウェア、シグネチャ更新

•

所要日数：２営業日

•

キッティング作業日よりライセンス消費が開始されます

13

(14)

サンプルレポートを差し上げております

どのような診断結果がでるか、PDF形式にて出力されるレポートのサンプルを差し上げております。また自社導入を検討する際、自社運用サイトを１つ指定していただき、脆弱性診断結果をサンプルとして差し上げます。

お問い合わせは、[email protected] まで。

14

(15)

サンプルスキャンを提供いたします

以下をご購入を検討されている企業様へ実施させていただきます。

•

自社運用を検討されている企業様へサンプルスキャンを実施いたします。

•

社外より接続可能な１つのWEBサーバサービスへの診断を実施させていただきます。

•

ルータやSIP電話機等の情報通信端末へのサンプルスキャン

•

外部セグメントからの攻撃試験を実施させていただきます。

•

サンプル機は１週間無償貸与ください。

•

１社１件の診断を無償にてサンプル診断させていただきます。

15

(16)

購入にあたってのご注意

本ソリューションは、脆弱性診断ツールでございますが、クラックツールとしても利用可能であることから、販売先を脆弱性診断の必要性がある企業様へ限定させていただいております。

また発売元の意向により、本ソリューションの最終利用会社を特定するため、

直販のみでのお取り扱いとさせていただいております。

本ソリューションは、個人の方および、脆弱性診断を必要しないと当社が判断した企業様への販売はできませんので、ご了承ください。

弊社での販売は日本国内の日本企業のみを対象とさせていただいており、また外国企業の日本支社および、外国資本日本法人への販売は行っておりません。

法人を経由して個人が利用していることが発覚した場合や、診断先サイトより診断依頼を得ずにスキャンを実施していることが発覚した場合は、直ちにライセンス認証を解除いたしますので、ご了承ください。

16

(17)

エンタープライズセキュリティ設計の仕方

ブルースター株式会社は、エンタープライズセキュリティを実現する、国際的に豊富な導入実績があり、また西側諸国や中立国で権威のあるソリューションをご案内しています。

それらを用いることで、高いセキュリティを実現できるエンタープライズネットワークを設計可能です。ご参照ください。

【エンタープライズセキュリティ設計の仕方】