SecPoint脆弱性検査ツール (ペネトレーションツール) ブルースター株式会社 Copyright © 2015 Bluestar Corporation. 1 北欧製脆弱性検査ツール/アプライアンス 2 Copyright © 2015 Bluestar Corporation. WEBサービス、社内ネットワーク、Wifiの脆弱性を手動・定期的に検査することができ るソフトウェア・アプライアンス。 • ファイヤウオール、ルータ、WEBサーバ、DBサーバ、WordPress、メールサーバ、 各プラットフォームのパソコン、プリンタ、モバイルデバイス等への脆弱性を診断 • 6万件強の脆弱性情報をもとに診断。毎月平均500件を追加 主要脆弱性情報元:Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB • 700以上の実際のエクスプロイトを実行可能 • 新たな攻撃手法はシグネチャにて提供 • 診断項目はプルダウンで指定可能で使いやすい • PDF、XMLによるレポート生成機能(英語だけど) • WEPの暗号キーを解読可能。WPA2はリストとランダム生成にて解読可能かを調査可 能。暗号キー強化の必要性有無を診断可能 • DoSとDDoS攻撃のエミュレーション機能 • Windows/Mac/Linux/vmware/Hyper-Vと、アプライアンスをご用意 • 同時利用IP数(同時検査稼動セッション)によるわかりやすいプライシング • 1年と3年の利用権で販売 検査可能な○と× 3 Copyright © 2015 Bluestar Corporation. 検査可能なもの • • • • • • • WEBサービスなどのDMZセグメントに配置されたサーバ 社内利用端末や社内サーバ 社内のSIP電話機、プリンター、ルーター、複合機などのネットワーク機器 社外からルーター、ファイアウオール、プロキシサーバー等 社内利用パソコンへの外部からの浸入 Wi-Fi通信方法における脆弱性 パソコンのブラウザやアプリに起因する脆弱性 (エクスプロイトツール) 検査不可能なもの • • • • • • スマートフォンのアプリプリケーションがもつ脆弱性 某国諜報機関が仕掛けたルーター装置へのルート権限バックドアの発見 全く未知の脆弱性 TCP/IP通信を伴わないもの 脆弱性をついた攻撃を断続的に行うと対象アドレスからのアクセスを一時的に 拒否する装置を装着している場合 EC CUBE等の日本ローカルなオープンソースソフトウェア 使いやすいユーザインターフェース 4 Copyright © 2015 Bluestar Corporation. 日本人にも扱い易いユーザインターフェース • スケジュールを指定し定期的に監査を実施 スキャン指定画面 5 Copyright © 2015 Bluestar Corporation. フルスキャン、OWASP Top10、PCI DSS監査基準、HIPAA法準拠、ファイア ウオール用などを必要に応じてプルダン選択し実行。使いやすい! Wi-Fi暗号キー脆弱性検査 6 Copyright © 2015 Bluestar Corporation. Wi-Fiはビルなど施設内に侵入しなくても屋外か ら社内ネットワークへ侵入が可能であるため、 暗号キーの脆弱性検査は非常に重要です。 スーパー、百貨店、空港、役所などは特に重要 12億件弱のキーリストでアタック可能です。 Realtek RTL8187L, Ralink(MediaTek) RT3572,RT2770 Atheros AR9271 を使用した無線LAN子機のドライバ が標準搭載されています。 ONKYO UWF-1で動作確認済 暗号キーを失念した企業へのサービスとしても活用されています。 用途別組み合わせ例 7 Copyright © 2015 Bluestar Corporation. WEBなど外部から脆弱性診断 WEBなど外部から脆弱性診断 WiFi脆弱性検査や可搬利用 Wifi脆弱性検査専用 無線LANモジュール (ONKYO UWF-1) • アプライアンス版のPenetratorは、 同時に複数IPアドレスを診断する ことができるため、効率的な診断 が可能 • 自社でLinux組込型機器の脆弱性診 断を頻繁に行いたい企業様 • 操作はPCからネットワーク経由で ウェブブラウザにて行う • vmware ESX, Hyper-V版もご用意 • 契約だけで即利用開始可能 • クラウド版のPenetratorは、同時 に複数IPアドレスを診断すること ができるため、効率的な診断が可 能 • 自社で機器を管理せず、脆弱性を インターネット越しで利用したい 企業に最適 Wifi脆弱性診断を行う場合には、 クアッドコアのCore i5/i7を推奨 (SSDドライブ必須) • Linux組込型機器の脆弱性診断を 自社で行いたい製造業様 • 顧客企業のLANセグメントからの 脆弱性検査を行いたい • 顧客企業のルータ自身の脆弱性検 査を行いたい • 脆弱性検査には長時間を要するた め専用パソコンの導入を推奨 機能詳細 8 Copyright © 2015 Bluestar Corporation. ●セキュリティ監査機能 ・脆弱性診断 ・6万件強の脆弱性情報 ・数量無制限の監査 ・豊富な監査オプション ・700以上の実際のエクスプロイトを起動 ・全てのOSのセキュリティ監査 ・自動ウェブクロールのスクリプト ・OSに依存しない操作画面 ・SANS Top 20 ・マルウェア検知 ●簡単なレポート出力 ・XML、PDFやHTML形式のレポート出力 ・自社ロゴをいれてのレポート生成機能 ・syslog遠隔ログ機能 ●セキュリティ監査 ・遠隔地のセキュリティ監査を集中管理 ・集中管理による包括レポート ・集中管理によるデータ保管 ・集中管理制御で包括管理 ●セキュリティ監査設定 ・仮想ホスト監査 ・特定ポート監査 ・特定URL監査 ・レポート生成時にメール通知 ●脆弱性情報主要収集元 ・Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB ●特定アプリの脆弱性診断 ・Wordpress, Drupal, Magento, Shopify, Umraco, Joomla, Webshops等 ●クロスサイトスクリプティングやSQLインジェクション等 ・自動的にウェブページをクロールしての診断 ・クロスサイトスクリプティング検知(XSS) ・SQLインジェクション検知 ・ウェブエラー検知 ・ブラックハットSEO検知 ・グーグルハックDB検知 ●WiFi脆弱性診断 ・WEP,WPA, WPA2の脆弱性診断 ・WPSを用いたクラック ・WEP暗号解除クラック ・11億件の暗号キーリストを用いた攻撃 ●マルチユーザサポート ・マルチユーザ同一接続機能 ・ユーザ毎の異なる監査オプションと同時利用IP数指定 ・ユーザ毎の異なるセキュリティレベル ・管理者とユーザ権限の設定 ●スケジュール実行監査 ・定期的な監査実行 ・新たな脆弱性発見時のアラート機能 ・新規脆弱性発見時に古い脆弱性と比較しセキュリティレベルの差を警告 ●アップグレードが可能なスケーラビリティ ・ソフトウェアライセンスにてアップグレードが可能 ・初期投資を最小限に抑制 ●脆弱性診断 ・実際のエクスプロイトを起動して、Windows、Unix,ルータや ファイアウオール等の診断を実施 ・DoS攻撃を実施 ・DDoS攻撃を実施(要攻撃機) ●自動更新で常に最新 ・毎日のシグネチャ自動更新機能で常に最新 ・自動ファームウェア更新機能 ・アップデート機能の集中管理 ・ライセンス有効期限が切れていた場合の警告機能 ・WebUIによる管理画面でのマニュアル適用 ●サポートとメンテナンス ・1年間か3年間のサブスクリプションライセンス ・httpsによる管理インターフェース ・簡単なセットアップウイザード ・設定情報のバックアップ&リストア ・syslog経由での警告電子メールとログ記録 ・自己診断機能を内蔵 ●主要脆弱性スキャン WAS(Web Application Scanning)、Google Hack Database、Google Safe Browsing Checks、 Forum and 50 Other Black List checks 、Blackhat SEO Scanningなど ●セキュリティ診断プロファイル ・Quick Scan ・Quick Web Scan ・Normal Scan (1万件の推奨スキャン) ・Full Scan (6万件全リストによるスキャン) ・Firewall Scan (ファイアウオールへのスキャン) ・OWASP Top 10 ・PCI DSS (クレジットカード情報を扱う上でのグローバルセキュリティ基準) ・HIPAA法 (医療保険の相互運用性と説明責任に関する法律) ・Agressive DoS ライセンス購入ガイド 9 Copyright © 2015 Bluestar Corporation. • 社内LAN (Class C) • • • PCI DSS、HIPAA法に基づき社内LANの脆弱性検査を行う場合、Class CのIPア ドレスの場合は256個のIPアドレスを調査します。 1 IPライセンスを購入した場合は、1台づつ調査されるため2時間×256台で、 検査に約500時間を要します。(Core i7パソコンの場合) 256 IPライセンスを購入した場合は、256台が同時に調査されるため、2時間で 検査が完了します。 • OWASP Top 10 • • • 1つのWEBサーバに対しては単一IPである可能性があるため、OWASP Top 10の プロファイルに基づき、約3時間のスキャンで完了します。(Core i7の場合) DBサーバ、複数のサブドメインがある場合には、1IPライセンスを購入した場合 は、1台づつ調査され3時間×調査対象=検査時間となります。 WEBサービスへの脆弱性検査を事業とする場合には、同時スキャンIP数を複数 個持たれることをお勧めいたします。 • SIP電話機、ルータ、IoT端末 • フルスキャンを行うため1端末あたり約6時間を要します。複数台を同時に検査 する場合は、6時間×調査対象=検査時間となります。多くの端末を調査する必 要がある場合には、同時実行が可能な複数IPライセンスのご購入をお勧めいた します。 プライシング:脆弱性診断 Penetrator 10 Copyright © 2015 Bluestar Corporation. 【アプライアンス】(消費税別途:直販価格) スモールファクタ(4 IP) 1年 ¥193,000 スモールファクタ(32 IP) 1年 ¥440,000 1U Rack mount(8 IP) 1年 ¥399,000 1U Rack mount(64 IP) 1年 ¥683,000 2U Rack mount(512 IP) 1年 ¥1,647,000 2U Rack mount(無制限) 1年 ¥2,955,000 3年 3年 3年 3年 3年 3年 ¥338,000 ¥819,000 ¥587,000 ¥1,196,000 ¥2,918,000 ¥5,272,000 【リニューアル】 4 IPライセンス 8 IP 32 IP 64 IP 512 IP 無制限 IP 3年 3年 3年 3年 3年 3年 ¥231,000 ¥384,000 ¥698,000 ¥941,000 ¥2,293,000 ¥4,178,000 1年 1年 1年 1年 1年 1年 ¥132,000 ¥216,000 ¥390,000 ¥527,000 ¥1,278,000 ¥2,325,000 ※同時スキャンを行うIPアドレス数によるわかりやすい価格体系です。1年間利用と大変お得な3年の利用権で販売しております。 診断には時間を要するため、同時にライセンス数以上の複数サイトを診断しない限り、無制限にサイトを診断していただけます。 プライシング:ソフトウェア版 Portable Penetrator 11 Copyright © 2015 Bluestar Corporation. Windows/Mac/Linuxのパソコンに導入して利用する可搬型のPenetratorです。 VMware player上にて稼動します。Wi-Fi脆弱性検査サービスにも活用できるモデルです。 VMware ESX, Hyper-V上で稼動させ顧客へ脆弱性検査クラウドサービスを提供可能です。 可搬型での利用の際は、別途Corei7クラスのパソコンが必要となります。 【初回パッケージ・VMwareイメージのDVD-ROM付】 1 IPライセンス 1年 ¥64,000 3年 ¥102,000 8 IP 1年 ¥235,000 3年 ¥409,000 32 IP 1年 ¥418,000 3年 ¥737,000 64 IP 1年 ¥557,000 3年 ¥992,000 512 IP 1年 ¥1,349,000 3年 ¥2,419,000 無制限 IP 1年 ¥2,448,000 3年 ¥4,394,000 【リニューアル】 1 IPライセンス 8 IP 32 IP 64 IP 512 IP 無制限 IP 1年 1年 1年 1年 1年 1年 ¥54,000 ¥216,000 ¥390,000 ¥527,000 ¥1,278,000 ¥2,325,000 3年 3年 3年 3年 3年 3年 ¥92,000 ¥384,000 ¥698,000 ¥941,000 ¥2,293,000 ¥4,178,000 プライシング:脆弱性診断 Cloud Penetrator 12 Copyright © 2015 Bluestar Corporation. 【契約だけで即利用可能なSaaS】 1 IPライセンス 8 IP 32 IP 64 IP 512 IP 1年 1年 1年 1年 1年 ¥47,000 ¥235,000 ¥809,000 ¥1,524,000 ¥10,910,000 3年 3年 3年 3年 3年 ¥84,000 ¥499,000 ¥1,581,000 ¥2,834,000 ¥16,577,000 ※インターネット越しでのクラウドサービスとなるため、診断先にはWAN側より到達可 能である必要があります。 オプショナルサービス 13 Copyright © 2015 Bluestar Corporation. 弊社では顧客企業様のご必要に応じたプロフェッショナルサービスを提供して おります。 【レポート出力された脆弱性への解決アドバイス】 • メールベース:10万円/脆弱性1件 • ミーティング:40万円/ミーティング(60分) 東京近郊のみ 1時間延長あたり20万円 【その他】 • 脆弱性診断方法アドバイザリー:150万円/件 • 社内ネットワーク、WAN、DMZセグメント • WiFi脆弱性診断方法アドバイス:200万円/件 【キッティング】 • ノートパソコン組込:20万円/台 • • • • ソフトウェア版Penetratorを支給ノートパソコンへの組込 最新版ファームウェア、シグネチャ更新 所要日数:2営業日 キッティング作業日よりライセンス消費が開始されます サンプルレポートを差し上げております 14 Copyright © 2015 Bluestar Corporation. どのような診断結果がでるか、PDF形式にて出力されるレポートのサンプルを 差し上げております。また自社導入を検討する際、自社運用サイトを1つ指定 していただき、脆弱性診断結果をサンプルとして差し上げます。 お問い合わせは、[email protected] まで。 サンプルスキャンを提供いたします 15 Copyright © 2015 Bluestar Corporation. 以下をご購入を検討されている企業様へ実施させていただきます。 • 自社運用を検討されている企業様へサンプルスキャンを実施いたします。 • 社外より接続可能な1つのWEBサーバサービスへの診断を実施させていただき ます。 • ルータやSIP電話機等の情報通信端末へのサンプルスキャン • • 外部セグメントからの攻撃試験を実施させていただきます。 サンプル機は1週間無償貸与ください。 • 1社1件の診断を無償にてサンプル診断させていただきます。 購入にあたってのご注意 16 Copyright © 2015 Bluestar Corporation. 本ソリューションは、脆弱性診断ツールでございますが、クラックツールとし ても利用可能であることから、販売先を脆弱性診断の必要性がある企業様へ限 定させていただいております。 また発売元の意向により、本ソリューションの最終利用会社を特定するため、 直販のみでのお取り扱いとさせていただいております。 本ソリューションは、個人の方および、脆弱性診断を必要しないと当社が判断 した企業様への販売はできませんので、ご了承ください。 弊社での販売は日本国内の日本企業のみを対象とさせていただいており、また 外国企業の日本支社および、外国資本日本法人への販売は行っておりません。 法人を経由して個人が利用していることが発覚した場合や、診断先サイトより 診断依頼を得ずにスキャンを実施していることが発覚した場合は、直ちにライ センス認証を解除いたしますので、ご了承ください。 エンタープライズセキュリティ設計の仕方 17 Copyright 2015 by Bluestar Corporation ブルースター株式会社は、エンタープライズセキュリティを実現する、国際的 に豊富な導入実績があり、また西側諸国や中立国で権威のあるソリューション をご案内しています。 それらを用いることで、高いセキュリティを実現できるエンタープライズネッ トワークを設計可能です。ご参照ください。 【エンタープライズセキュリティ設計の仕方】 http://www.blue.co.jp/pdf/EnterpriseSecurity.pdf
© Copyright 2024 ExpyDoc
