Omni-Base
Omni-Base for DIGITAL’ATELIER

万全なセキュリティ対策

Omni-Base for DIGITAL‘ATELIERでは万全なセキュリティ対策を実施しております。

セキュアシステム開発・運用プロセスに準拠

BIPROGYのシステム開発業務プロセス(ISBP*1)内の、「セキュアシステム開発」及び「(ISMS*2に準拠する)開発環境セキュリティ管理」で規定されたプロセスに沿って開発を行っております。

ISBPのロゴ画像

高いレベルのセキュリティ
レビューを突破

BIPROGY ISBPに規定される、セキュリティ対策項目(各攻撃や運用オペレーション脆弱性に対する、インフラ領域、アプリケーション領域、ログ管理領域、運用領域に関する200項目に及ぶ対策)をはじめとするセキュリティレビューをクリアしております。またご導入企業様内のセキュリティレビュー等のご支援もさせていただきます。

セキュリティ対策項目のイメージ画像

第三者機関に適用標準*3に準拠した脆弱性対策の実施

BIPROGYのセキュリティ標準だけでなく、第三者機関における脆弱性対策も実施しております。

  • *3 脆弱性診断時に最適な基準で実施いたしますが、過去事例は以下を含む基準に準拠しております。
  • 情報セキュリティ管理基準(脆弱性診断関連項目)
  • NIST Special Publication 800-115
  • OWASP Testing Guide
  • Payment Card Industry Data Security Standard (PCI DSS)

Webアプリケーション脆弱性診断

診断項目 主な例
入出力処理
  • クロスサイトスクリプティング
  • HTMLタグインジェクション
  • SQLインジェクション
  • コマンドインジェクション
  • パスマニピュレーション
  • ファイルアップロード機能に関する調査
  • パラメータ推測
  • 例外処理に関する問題
  • オープンリダイレクト
  • CRLFインジェクション
  • バッファオーバーフロー
認証
  • ログインフォームに関する調査
  • ログイン情報の送受信に関する調査
  • 認証回避に関する調査
  • パスワードの強度に関する調査
  • 復元可能なパスワード保存
セッション管理
  • Cookieに関する調査
  • セッションIDに関する調査
  • セッションハイジャック
  • セッションフィクセーション
  • クロスサイトリクエストフォージェリ
  • セッションタイムアウト
  • ユーザ権限に関する調査
重要情報の
取り扱い
  • ユーザ情報の管理に関する調査
  • 特定個人情報の管理に関する調査
  • クレジットカード情報の管理に関する調査
  • キャッシュ制御に関する調査
  • 強制ブラウジング
システム情報・
ポリシー
  • システム情報の開示
  • エラーメッセージの表示に関する調査
  • ディレクトリリスティング
  • ソフトウェアの既知の脆弱性
  • クリックジャッキング
  • デフォルト設定に関する調査
その他
  • ユーザビリティや品質に関する問題

ネットワーク脆弱性診断

診断項目 主な例
ホストのスキャン
  • TCP、UDP、ICMPでのポートスキャン
  • 実行中のサービスの検出
ネットワークサービスの
脆弱性
  • DNSに関する調査
  • メールサーバに関する調査
  • FTPに関する調査
  • RPCに関する調査
  • ファイル共有に関する調査
  • SNMPに関する調査
  • SSHサーバに関する調査
  • データベースサーバに関する調査
  • その他サービスに関する調査
Webサーバーの脆弱性
  • Webサーバの脆弱性
  • Webアプリケーションサーバの脆弱性
  • 許可されているHTTPメソッド
各種OSの脆弱性
  • Windowsの既知の脆弱性
  • Solarisの既知の脆弱性
  • 各種Linuxディストリビューションの既知の脆弱性
  • その他各種OSの既知の脆弱性
悪意あるソフトウェア
  • バックドアの調査
  • P2Pソフトウェアの調査
ネットワーク機器の脆弱性
  • 各種ルータ機器の既知の脆弱性
  • 各種ファイアウォール機器の既知の脆弱性
  • その他各種ネットワーク機器の既知の脆弱性
その他
  • その他ホスト全体の調査
  • サービス運用妨害(DoS)攻撃
  • 総当り(Brute Force)攻撃