プラットフォーム診断
ホスト診断
PCI DSS 4.0 認証スキャン対応の内部診断
ホスト診断は、認証した状態でシステムの内部からスキャンを行い、脆弱性を検査する診断サービスです。
外部からのネットワーク診断だけでは検出が困難な、OS にインストールされているソフトウェア・パッケージの脆弱性を網羅的に洗い出します。ホスト端末でスキャンを直接実施するので通信経路から見える情報とは異なり、より多くの問題を発見することが可能となります。
当社サービスでは専用のツール(スキャナ)を使用し、システムにインストールされたソフトウェア・パッケージをリスト化し、それぞれに内在する脆弱性を可視化します。これにより優先的に対応すべき内容を特定することが可能です。
PCI DSS 4.0と認証スキャン
PCI DSS はクレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められたセキュリティの国際基準で、クレジットカード情報の保存・処理・伝送などを行うすべての事業者(クレジットカード加盟店・金融機関・クレジットカード決済サービス企業など)は、PCI DSS に準拠する必要があります。
現行の PCI DSS v3.2.1 は 2024 年 3 月 31 日に終了し、PCI DSS v4.0 では近年のフィッシングによる個人情報などの詐取といった脅威動向を踏まえて、外部からの攻撃や内部からの不正のリスクを可視化する観点から、サーバー内部より脆弱性スキャンに行う、認証スキャンを実施することが必須(2025 年 4 月から)となります。
認証スキャンとは?
認証スキャン(authenticated scanning)は、システムの内部からログイン認証を行った状態で検査する方法です。有効なユーザー資格証明(ユーザー名とパスワード)のセットを使用して、スコープ内のシステムにアクセスし、脆弱性診断を実施します。一般的には特権ユーザーまたは診断に十分な権限が付与されたユーザーで診断を実施します。
ホスト診断の特長
- 通常の脆弱性診断とは異なり、スキャンにおけるサーバー負荷はかかりません。
- 検査ツールは常駐型ではありませんので、診断後に検査ファイルを削除頂くことで継続した管理が不要です。
- お客様自身で実行頂くため、ファイアウォールなどのアクセス制御の変更は不要です。
- パッケージ一覧の可視化し、それらの脆弱性情報と紐づけを行います(JVN, NVD, CVE)。
- 脆弱性が存在するパッケージのリスクを評価いたします(CVSS)。
診断対象
- 検査対象とするサーバー(OS 単位)
ホスト診断による内部診断の特長
これまで内部からネットワーク診断を実施する場合、診断員が対象サーバーやネットワーク機器が設置された現地へ訪問して作業を実施する必要がありました。訪問を想定していない施設や、セキュリティポリシー的に難しい場合などは実施が難しく、また施設への入館申請や現地での作業同席などお客様側の負担が大きいだけでなく、診断員の現地訪問による提供コストにも影響が多いことが課題となっていました。
当社サービスではそのような課題に対して、専用の検査ファイルをお客様側で実行してもらう方法で解決いたしました。検査ファイルは常駐型ではありませんので、サーバー負荷もかからず、ファイアウォールなどのアクセス制御の変更は不要です。
もっと詳しく知りたい方は、特集記事: 脆弱性診断(セキュリティ診断)でシステムに潜む脅威を発見 - 脆弱性診断の必要性とは?種類と内容、選び方を解説 - をご覧ください。
ホスト診断 実施の流れ
当社より検査ファイルをお送りいたしますので、お客様側で実行していただきます。検査ファイル実行後の結果ファイルを当社へご送付いただく事で、その結果ファイルより当社でレポートを作成し、お客様側へご報告いたします。
診断項目
| 診断項目 | |
|---|---|
| システム情報 | OS のバージョン情報の調査 |
| カーネルのバージョン情報の調査 | |
| ネットワークインターフェース情報の調査 | |
| DNS サーバー情報の調査 | |
| システムアーキテクチャ | |
| インストールソフトウェア・パッケージの脆弱性 | インストールソフトウェア・パッケージ情報に関する調査 |
| インストールソフトウェア・パッケージの既知の脆弱性 | |
| バージョン情報に関する調査 | |
| 公開されている既知の脆弱性に関する調査 | |
| 未適用セキュリティパッチと最新セキュリティパッチに関する調査 | |
| 使用・未使用のソフトウェア・パッケージ情報に関する調査 | |
| サービス情報 | 稼動ネットワークサービス IPv4 |
| 稼動ネットワークサービス IPv6 | |
| 稼働ネットワークサービスのバナー情報 ※ 1 | |
| 稼働プロセス情報 ※ 1 | |
| その他 | 脆弱性の対策優先順位付けの分析 ※ 1 |
| 脆弱性毎の KVE 分析 | |
| 脆弱性のインストールソフトウェア・パッケージごとの詳細分析(プロセス、ネットワークサービス、脆弱性レベル) | |
| ユーザー情報(オプション)※ 1 | アカウント一覧 |
| パスワード強度の調査 | |
※ 1: Linux のみ対応
対象 OS
| OS | 注意事項 |
|---|---|
| Windows Server 2022 / 2019 / 2016 | Server Core を除きます |
| Red Hat Enterprise Linux 6 / 7 / 8 | 標準カーネル以外のカーネルを除きます (例:kernel-*.el7.elrepo.x86_64 等) |
| CentOS 6 / 7 | |
| Amazon Linux / Amazon Linux2 | |
| Ubuntu 18.04 / 20.04 / 22.04(LTS) | CPU アーキテクチャが x86_64 以外のものを除きます |
※ 上記以外の OS での対応可否は別途お問い合わせください。
