ECサイト、求人サイト、SNS、ゲーム開発等のWebシステム開発、モバイルやスマートフォン開発を行うシステム開発ベンダーとしてのKBMJ。
KBMJが提供するセキュリティサービスは、開発経験、サービス運営経験を持つ、セキュリティスタッフたちにより、「開発者視点から」や「サービス運営者視点」、時には「ハッカー視点」からのセキュリティ診断を行い、お客様の改善すべきセキュリティリスクや弱点を明示し、改善策やソリューションを提供します。
セキュリティ面以外にも、システムの品質保持・向上のための各種デバッグテストも行い、安全性・品質の両面からWebを守ります。
Enterprise Security Risks
Webの登場以来、EC、SNSなどのコンシューマ向けWebシステム、企業内や対企業向けWebシステムは大きく発展し、現代の企業活動においてWebシステムは欠かせないものになりました。しかしその一方で、Webシステムのセキュリティ対策は未だ発展途上であり、多くの企業では、セキュリティ上の問題が実際の脅威として、徐々に顕在化してきています。さらに近年では特定の企業や人を標的とした攻撃やマルウェアも増えてきています。
脆弱性に起因するウイルス、ワームや不正アクセス等の被害について、独立行政法人情報処理推進機構(IPA)の調査によると、約2社に1社がWebシステムや企業内システムに何らかの被害を受けているとされ、たとえば、ECサイトでは、セキュリティ上の脆弱性を突いて、システムに侵入し、クレジットカード番号や名義、有効期限など外部へ流出し、多額の損失が発生していることが報告されています。
Webシステムを開発・運用する企業は、システム内に潜在するセキュリティ対策の不備に起因する脅威が、売上減の財務上の損失、社会的信用の失墜、利用者への悪影響、従業員の信用失墜やモチベーションの低下など、どのようなリスクを生じさせ、どのようなビジネスインパクトを及ぼすのか、事前に考慮し対策を講じておく必要があります。
独立行政法人情報処理推進機構(IPA)によるセキュリティ10大脅威
セキュリティ脅威ワースト10
- 1位「人」が起こしてしまう情報漏えい
- 2位 止まらない!ウェブサイトを経由した攻撃
- 3位 定番ソフトウェアの脆弱性を狙った攻撃
- 4位 狙われだしたスマートフォン
- 5位 複数の攻撃を組み合わせた新しいタイプの攻撃
- 6位 セキュリティ対策不備がもたらすトラブル
- 7位 携帯電話向けウェブサイトのセキュリティ
- 8位 攻撃に気づけない標的型攻撃
- 9位 クラウド・コンピューティングのセキュリティ
- 10位 ミニブログサービスやSNSの利用者を狙った攻撃
Method or Mode of Attacs
攻撃者は潜在的に多くの経路を用いて、ビジネスや組織に悪影響を及ぼすことができます。また、様々な攻撃パターンがあり、新しい脅威も日々増えています。今までは脆弱でなかったシステムでも、時間が経つと情報システムの安全性は低下することがあります。つまり、開発時から何年も更新されていないシステムは、変化する脅威に対応できず、危険な状態に陥る可能性があります。
Security Risk Control
企業内のセキュリティリスクの管理計画を立てようとすると、あまりに膨大な作業があることに直面します。自社内で対応可能な部分、専門家に委託・支援をあおぐ部分を分類し、計画〜実施〜運用〜評価の各フェーズにおける適切なセキュリティ施策が必要です。
How Do We Prevent Security Risks?
このようなケースに最適です
- システムのアクセス権限がデフォルトのまま
- 顧客情報データへのアクセスへの物理的制限がされていない
- アンチウィルスソフトの定期更新、ソフトウェアの最新パッチを充てていない
- 情報セキュリティポリシーが未整備のままである
- 脆弱性診断を行ったことがない
- セキュリティ被害にあっている、あったことがある
Case Study
ユーザー様の声
- 某ECショップ運営会社様
- ECサイト提供に際してPCI-DSSに準拠したWeb Application Firewall選定に際して、弊社が販売提供しているバラクーダネットワークス製装置を選定頂く、弊社にて導入設置及び運用保守サポートサービスの提供中。当該サイトではECサイト会員様の個人情報管理対策に際して、Webアプリケーションの脆弱性診断の実施と共に、今後新たな脆弱性対策としてWAF装置導入を実施。
- 某人材派遣会社様
- 弊社ホスティングサービスを提供している人材派遣会社様ホームページにおいて、当該サイトにて管理されている会員様向け個人情報の漏えい対策の一環として、SaaS型WAFサービスの提供中。なお、本お客様は更に弊社「ファイル改ざん検知」サービスでの対策も実施中。
業種別事例
| EC | ECサイト、バックエンド管理システム |
|---|---|
| 人材 | Webエントリー、求人検索サイト |
| 金融 | ネットバンク、証券取引システム |
| 公共 | 会員向けシステム、公共施設内サーバ診断 |
| メディア | 会員向けシステム、社内ワークフローシステム |
| 運輸 | ドライバー管理・配車システム |
主な提供ソリューション
- マルウェア解析
-
標的型ウイルス解析
標的型ウイルス検出・駆除
プロトタイプウイルスの検出・駆除 - サーバー脆弱性診断
-
システム侵入
パスワードクラック
サービス拒否回避等 - Webアプリケーション脆弱性診断
-
SQLインジェクション
クロスサイトスクリプティング
クロスサイト・リクエスト・フォージェリ(CSRF)
OSコマンド・インジェクション
ディレクトリ・リスティング
メールヘッダインジェクション
パストラバーサル
HTTPヘッダ・インジェクション
認証
セッション管理の不備
アクセス制御の不備、欠落
プログラム設計の潜在的脆弱性
仕様による潜在的脆弱性 等
