/// セキュリティ診断 報告書サンプル

脆弱性診断 報告書
セキュリティ診断「エレシークVA」はメニューによって診断対象は異なりますが、大きく分けて6つの脆弱性ジャンル、クライアント側での攻撃コマンドの実行、情報漏洩、認証系、承認系、ロジックを狙った攻撃、異常検出、そして細かく40にわたる項目を診断します(クライアント様に合わせて診断項目を採択します)。 ※40の診断項目はコチラ
セキュリティ診断「エレシークVA」の診断 報告書は、次の内容から構成されます。
診断 報告書のダウンロードはコチラ

Webアプケーションのセキュリティ診断を受けるのに数百万円単位の高額な診断コストがかかってしまうことがあります。高度な専門知識を必要とされるセキュリティエンジニアがそれなりの作業量を伴い診断をしているのでこれはしょうがありません。ただ、中~小規模のITシステムでは予算面で厳しいためコーボーでは低価格で実施できる診断メニューも併せて用意しています。
総合評価について

セキュリティ診断の総論結果を5段階A~Eに分けて報告書にしています。
レベル 評価基準
A 脆弱性は検出されませんでした。適切なセキュリティ対策が実施されています。 脆弱性が全く検出されなかった場合に該当します。
B 危険度低の脆弱性が存在します。概ね適切なセキュリティ対策が実施されていますが、セキュリティ対策に改善の余地があります。 危険度緊急・高・中の脆弱性が一つも検出されず危険度低の脆弱性が一つ以上検出された場合に該当します。
C 場合によっては機密情報へのアクセスや、情報の改ざん等の深刻な被害を受ける可能性のある危険度中の脆弱性が存在します。セキュリティ対策を実施することが望まれます。危険度緊急・高の脆弱性が一つも検出されず危険度中の脆弱性が一つ以上検出された場合に該当します。
D ネットワーク経由で不正侵入やサービス停止等につながる危険度高の脆弱性が存在します。可能な限り早い段階でセキュリティ対策を実施することが望まれます。 危険度緊急の脆弱性が一つも検出されず危険度高の脆弱性が一つ以上検出された場合に該当します。
E ネットワーク経由で容易に不正侵入、サービス停止、個人情報等の機密情報漏洩に直接つながる危険度緊急の脆弱性が存在します。早急にセキュリティ対策を実施することが望まれます。 危険度緊急の脆弱性が一つ以上検出された場合に該当します。

CVSSによる脆弱性評価

セキュリティ診断で判定された脆弱性をCVSS※の10段階で件数を明示します。 ※共通通脆弱性評価システム(CVSS:CommonVulnerabilityScoringSystem)は、情報システムの脆弱性を共通の指標で評価するものです。オープンで汎用的な評価手法で、特定のベンダーに依存しない共通の評価方法として、脆弱性の深刻さを製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できるものとなっています。
CVSSは、コンピュータセキュリティの非営利団体「FIRST(Forum ofIncident Response and Security Teams)」のCVSS-SIG(SpecialInterest Group)で管理されており、現在は2007年6月に公開されたバージョン、CVSS2.0となります。 CVSSでは、「基本評価基準(Base Metrics)」「現状評価基準(TemporalMetrics)」 「環境評価基準(EnvironmentalMetrics)」の3段階の基準があります。 「基本評価基準(Base Metrics)」は、脆弱性そのものの特性を評価する基準であり、情報システムに求められる3つのセキュリティ特性、「機密性(ConfidentialityImpact)」、「完全性(IntegrityImpact)」、「可用性(AvailabilityImpact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。CVSS基本値は最小の0.0から最大の10.0で表され、脆弱性の深刻度として10.0が最も危険な値となります。この基準による評価結果は固定しており、時間の経過や利用環境の違いによって変化しない値となります。ここではCVSSの基本値を元に報告書にしています。

脆弱性評価 (例)CVSS

深刻度 脆弱性に対して想定される脅威 CVSS基本値 深刻度 該当件数
危険
(レベルIII)
・リモートからシステムを完全に制御されるような脅威
・大部分の情報が漏洩するような脅威
・大部分の情報が改ざんされるような脅威
・例えば、全てのシステムが停止するようなサービス運用妨害(Dos)、OSコマンドインジェクション、SQLインジェクション、バッファオーバフローによる任意の命令実行など
7.0~10.0 9.0~10.0
2
8.0~8.9
2
7.0~7.9
警告
(レベルII)
・一部の情報が漏えいするような脅威
・一部の情報が改ざんされるような脅威
・サービス停止に繋がるような脅威
・例えば、クロスサイト・スクリプティング、一部の情報が漏えいするようなディレクトリ・トラバーサル、一部のシステムが停止するようなサービス運用妨害(Dos)など
・その他、レベルIIIに該当するが再現性が低いもの
4.0~6.9 6.0~6.9
5.0~5.9
1
4.0~4.9
注意
(レベルI)
・攻撃するために複雑な条件を必要とする脅威
・その他、レベルIIにおける再現性が低いもの
0.0~3.0 3.0~3.9
2.0~2.9
1
1.0~1.9
0.0~0.9
※該当件数についてはサンプルとなります。
引用:IPA CVSS基本値による深刻度のレベル分けより
セキュリティ診断 報告書サンプルはコチラからお問い合わせください
<個人情報漏えいの被害額算出ホワイトペーパー付>
Copyright (c) COBO HOLDINGS,INC All Right Reserved.

お気軽にお電話でも問い合わせください

03-3513-7630

受付:平日 10:00~18:00

Web経由は24時間受付OK。簡単2分で問い合わせ!