万全なセキュリティ対策
Omni-Base for DIGITAL'ATELIERは万全なセキュリティ対策を施し開発・運用しております。ご導入いただく企業様の情報をサービスとして安全にお預かりするために以下の対策を行っております。
セキュアシステム開発・運用プロセスに準拠
日本ユニシスのシステム開発業務プロセス(ISBP*1)内の、「セキュアシステム開発」及び「(ISMS*2に準拠する)開発環境セキュリティ管理」で規定されプロセスに沿って開発を行っております。
*1 日本ユニシス 技報(https://www.unisys.co.jp/tec_info/index.html)「システム開発とプロジェクトマネジメントⅠ~Ⅳ」
*2 日本ユニシス 全社でISMSの認証を取得(https://www.unisys.co.jp/news/nr_070109_ISMS.html)
高いレベルのセキュリティレビューを突破
日本ユニシスISBPに規定される、セキュリティ対策項目(各攻撃や運用オペレーション脆弱性に対する、インフラ領域、アプリケーション領域、ログ管理領域、運用領域に関する200項目に及ぶ対策)をはじめとするセキュリティレビューをクリアしております。またご導入企業様内のセキュリティレビュー等のご支援もさせていただきます。
第三者機関に適用標準*3に準拠した脆弱性対策の実施
日本ユニシスのセキュリティ標準だけでなく、第三者機関における脆弱性対策も実施しております。
*3 脆弱性診断時に最適な基準で実施いたしますが、過去事例は以下を含む基準に準拠しております。
・情報セキュリティ管理基準(脆弱性診断関連項目)
・NIST Special Publication 800-115
・OWASP Testing Guide
・Payment Card Industry Data Security Standard (PCI DSS)
Webアプリケーション脆弱性診断
| 診断項目 | 主な例 |
|---|---|
| 入出力処理 |
・クロスサイトスクリプティング
・HTMLタグインジェクション ・SQLインジェクション ・コマンドインジェクション ・パスマニピュレーション ・ファイルアップロード機能に関する調査 ・パラメータ推測
・例外処理に関する問題 ・オープンリダイレクト ・CRLFインジェクション ・バッファオーバーフロー |
| 認証 |
・ログインフォームに関する調査
・ログイン情報の送受信に関する調査 ・認証回避に関する調査 ・パスワードの強度に関する調査
・復元可能なパスワード保存 |
| セッション管理 |
・Cookieに関する調査
・セッションIDに関する調査 ・セッションハイジャック ・セッションフィクセーション ・クロスサイトリクエストフォージェリ
・セッションタイムアウト ・ユーザ権限に関する調査 |
| 重要情報の 取り扱い |
・ユーザ情報の管理に関する調査
・特定個人情報の管理に関する調査 ・クレジットカード情報の管理に関する調査 ・キャッシュ制御に関する調査
・強制ブラウジング |
| システム情報 ・ポリシー |
・システム情報の開示
・エラーメッセージの表示に関する調査 ・ディレクトリリスティング ・ソフトウェアの既知の脆弱性
・クリックジャッキング ・デフォルト設定に関する調査 |
| その他 | ・ユーザビリティや品質に関する問題 |
ネットワーク脆弱性診断
| 診断項目 | 主な例 |
|---|---|
| ホストのスキャン | ・TCP、UDP、ICMPでのポートスキャン ・実行中のサービスの検出 |
| ネットワークサービスの脆弱性 |
・DNSに関する調査
・メールサーバに関する調査 ・FTPに関する調査 ・RPCに関する調査 ・ファイル共有に関する調査 ・SNMPに関する調査
・SSHサーバに関する調査 ・データベースサーバに関する調査 ・その他サービスに関する調査 |
| Webサーバーの脆弱性 | ・Webサーバの脆弱性 ・Webアプリケーションサーバの脆弱性 ・許可されているHTTPメソッド |
| 各種OSの脆弱性 | ・Windowsの既知の脆弱性 ・Solarisの既知の脆弱性 ・各種Linuxディストリビューションの既知の脆弱性 ・その他各種OSの既知の脆弱性 |
| 悪意あるソフトウェア | ・バックドアの調査 ・P2Pソフトウェアの調査 |
| ネットワーク機器の脆弱性 | ・各種ルータ機器の既知の脆弱性 ・各種ファイアウォール機器の既知の脆弱性 ・その他各種ネットワーク機器の既知の脆弱性 |
| その他 | ・その他ホスト全体の調査 ・サービス運用妨害(DoS)攻撃 ・総当り(Brute Force)攻撃 |
システム構成における脆弱性対策
複数階層の構造を持っており、攻撃による情報取得を堅牢に対策しております。各階層間は指定サーバ×指定プロトコル/ポートの通信のみ許容(DBは最奥階層に設置)するようファイアーウォールポリシーを設定し、INTERNETからユーザがアクセスできるのは1階層目(DMZ)のみとしています。また、管理画面は非公開(外部からのアクセスルートなし)とし限られた運用者のみがアクセス出来る構成としています。
*DIGITAL'ATELIERは、日本ユニシス株式会社の登録商標です。
*Omni-Base(オムニベース)は、株式会社ワールドの商標です。詳細はこちら
*その他記載の会社名および商品名は、各社の商標または登録商標です。