I-C-I　Webセキュリティサービスのご紹介

Web アプリケーション診断サービス
Web A pplication Firewall サービス
「 S cutum」
のご紹介

201 2 年 7 月
Ver1 .0

Copyright © 2012 Internet & Communication Innovator, Ltd. All Rights Reserved.

本資料について

本資料では Web アプリケーションのセキュリティ向上に向けた、
2 つの弊社サービスソリューションをご紹介致します。

■ Web アプリケーション診断サービス

■ Sa S 型 Web Applica Firewa 「 Scutum 」
a tion ll


お客様の Web サイトは安全ですか？
Web アプリケーションに対する攻撃は増加中】
、 Web アプリケーションの脆弱性を悪用した攻撃による Web サイトの改竄や情報漏えいの事件が
報道されています。

多賀城市 / 宮城県のホームページ（ＨＰ）が勝手に改ざんされて 3 日間閉鎖 (201 2 年 6 月 20 日 )
警視庁　サイバー犯罪対策課によると、今年１～５月の不正アクセスに関する相談は約 390 件。 (201 2 年
06 月 23 日 )
財務省のサイト改ざん　アノニマスが攻撃予告、財務省サイト一部閉鎖ハッカーの攻撃か (201 2 年 6 月 27
日)
米 Ya 　不正アクセスで約 45 万件のアカウント情報が流出 (201 2 年７月 1 2 日 )
hoo!
客様の Web サイトは安全？】
アプリケーションのセキュリティ診断 ( 脆弱性診断※ ) を受けたことがある企業 (229 社 ) の中で、
意」や「危険」を診断された Web サイトが 7 割以上となっており、決して安全とは言い切れません。

※ お客様 Web サイトに対する Web アプリケーション診断サービスも
　　ご提供します。

業種別の Web サイト危険度割合出典： NRI セキュアテクノロジーズ
「サイバーセキュリティ傾向分析レポート 2011 」

Copyright © 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 3

お客様のセキュリティ対策で抱える問題点
様の Web サイトセキュリティ対策で抱える問題点】
の Web サイトでは以下の問題を抱えていませんか？

サイトにどれだけの問題があるか分からない
対応で Web サイトの脆弱性診断の実施が必要

㈱アイ・シー・アイのご提案する
Web アプリケーション診断サービスをご検討下さい。⇒ 5 ページへ

サイトのセキュリティ対策を実施したいがコストがかかる
アプリケーションの脆弱性対応 ( アプリケーション改修、バージョンアップ作業 ) にコストがかか
導入した Web Applica Firewa
tion llの運用コストが高く、セキュリティエンジニアがいない

㈱アイ・シー・アイのご提案する
Sa S 型 WEB Applica Firewa
a tion ll
Scutum( スキュータム ) のご利用をご検討下さい。⇒ 1 2 ページへ


Web アプリケーション診断サービスのご紹介

Web アプリケーション診断サービス
エキスパート診断 / エクスプレス診断


Web アプリケーション診断の仕組み

Web サイトに潜むセキュリティ上の問題点を攻撃者の立場で診断するサービスです。
Web アプリケーションのセキュリティ問題に精通した技術者が Web サイトの問題点を診断
し、情報漏えい等重大事件の発生防止のお手伝いをします。
診断はインターネット経由で実施しますが、お客様のご要望に応じて、オンサイト診断も
実施します（別途御見積が必要となります）。

お客様サイト

ICI(SST) 診断時のトラフィック量は診断対象の
、数十Ｋｂｐｓ程度。サイＷｅｂサー
ト負荷を気にする必要はあ万が一の障害に
バ
診断サーバりません。備え、事前にバ
ックアップの取
得をお願いして
インターネットいます。

診断の際に利用するＩＰアドレ診断対象のＷｅｂサーバに対
診断は、診断サーバを介して実施スは事前に通知します。して、設定変更や、Ａｇｅｎ
します。不正防止対策として、診テストサーバへの診断の際にはｔソフトウェアなどのインス
断サーバで全ての通信記録を取得ＦＷの設定を追加していただくトールは一切不要です。
し、監査を行っています。ことがあります。

※SST ＝ Secure Sky Technology 社


Web アプリケーション診断サービス　サービス
内容
以下サービス内容で、お客様の不安と負担を軽減いたします。
脆弱性が検出された場合には、改修確認までサポートします ( 再診断は無償対応！※ ) 。
 診断期間
100 画面（ HTTP/S リクエスト数）で約 2 週間必要となります。
 診断時間
10 ： 00 ～ 17 ： 00 が診断時間になります。お客様のご都合により調整も可能です。
 診断時の連絡
診断開始時、終了時にメールにて連絡します。緊急の場合は電話にて連絡します。
 緊急報告（速報）
診断実施中に危険な脆弱性が見つかった場合は速報を提出します（修正は極力診断終了後にお願いしま
す）。
 報告書
報告書提出は診断最終日の 5 営業日後です。
危険度は、注意事項（ info ）、 Low 、 Medium 、 High の４段階で表します。
 再診断
Medium 以上の脆弱性については、お客様の修正が完了後、無償で再診断を実施します。
※ 再診断箇所が多岐に渡る場合、脆弱性の一部を抽出して実施する場合があります。
※ オンサイトでの診断をご要望される場合、再診断は別途御見積が必要となります。


診断項目

脆弱性の多くはこれらの組み合わせで発生します。また、名称のついていないものも存在し
ます。
独自開発した診断ツールと共に専門技術者による手動診断によりこれらの脆弱性を検出しま
す。脆弱性区分脆弱性名：手動診断でのみ
　検出できる脆弱性
認証パスワードシーポリ
不適切な認証
脆弱なパスワードマインダリ
承認セッンの推測
ショ
不適切な承認
セッンの固定
ショ
C SRF（ ros s Sit e Re que s t Forge rie s ）
C
クライアント側での攻撃クロスサイトスクリプティング
コンテンツの詐称
コマンドの実行バッオーバーフロー
ファ
書式文字列攻撃
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSIインジェクション
XPa t hインジェクション
情報公開ディレクトインデクシング
リ
ソース記載による情報漏えい
パストラバーサル
推測可能なリソース位置
ロジックを狙った攻撃機能の悪用
（ gic al At t ac k ）
Lo リダイレクタ
不適切なプロセスの検証

診断実施方法

ツール診断と手動診断を合わせ効果の高い診断を実施

・ツール診断を実施
安価なツール診断のデメ
・ツール診断と並行し、サイトの特性や各ペ
フェーズ１リット
ージでやり取りされているパラメータの意味
を理解し、手動診断が必要かどうか判断
・ツール診断を実施し、ツー
ルが出す報告書を提出するだ
け
・ツールが正常に実行されな
い画面がある
フェーズ２・ツールで検出した結果を手動にて再度確認・誤検知の可能性
・手動診断でしか発見できな
い脆弱性は検出されない

・フェーズ１で抽出した手動診断が必要と思わ
フェーズ３れる
　箇所に手動での診断を実施脆弱性を見逃してしまう
可能性があります


診断サービスフロー

診断前準備診断報告サポート

診断対象と診断日時 I CI （ SST ）から診断員が診断結果診断終了後のアフ
を決定します。リモートで診断ををご報告します。ターサポートを実
・画面遷移図などの実施施します。
サイト情報（無い場・診断終了後、診断
作合は I CI が作成しま・診断の開始 / 終了報告書を提出します・報告書記載内容に
業
実す）を診断員から担当者。ついての Q A サポー
施様に連絡します。トを実施します。
内・診断用アカウント
容の作成（認証がある・診断員による診断
・重大な脆弱性が発報告会を開催します・発見された脆弱性
場合のみ）
見された場合には、（オプション）。に対する再診断を無
・診断日時とご担当担当者様に緊急報告償で実施します。
者様の情報を提供い書（速報）を提出し
ただくためのヒアリます。
ングシート

・画面遷移図・緊急報告書・診断報告書・再診断報告書
成
果・ﾋｱﾘﾝｸﾞｼｰﾄ ( 速報 ) ・診断報告会
物
重大な脆弱性発見時のみ ( オプション )

※SST ＝ Secure Sky Technology 社


Web アプリケーション診断サービス　価格

■ エキスパート診断
価格説明

50 画面（ HT T P/S リクエスト）までの診断と報告書作
基本料金￥ 1,280,000 成を含みます。
50 画面を超える場合、 1 0 画面（ HT T P/S リクエスト）
追加診断料金￥ 300,000 当たりの追加診断料金となります。

報告会料金￥ 150,000 報告会を 1 回開催する場合の料金となります。

■ エクスプレス診断
価格説明

1 0 画面（ HT T P/S リクエスト）までの診断と報告書作
基本料金￥ 400,000 成を含みます。
1 0 画面を超える場合、 1 0 画面（ HT T P/S リクエスト）
追加診断料金￥ 300,000 当たりの追加診断料金となります。

報告会料金￥ 100,000 報告会を 1 回開催する場合の料金となります。

※ オンサイト診断の場合、別途御見積とさせて頂きます
。


Sa S 型 WAF サービス　【 Scutum( スキュータム ) 】の
a
ご紹介


Web Applica Firewa
tion llとは？
Web アプリケーションへの攻撃は、一般的な Firewa llや I PS などでは防ぐことができません。
また、アプリケーションの脆弱性を利用した攻撃などには、 Web サーバへのパッチ適用や
アプリケーションのセキュリティ実装などにより対応することができますが、多大なコストと時間を消費
します。
これらの課題を解決するための技術が、 Web Applica Firewa [ WAF] です。
tion ll
WAF は Web アプリケーションの脆弱性を悪用した攻撃などから Web アプリケーションを保護する機能を有
します。
WAF を導入する事により、以下の効果を期待できます。

。脆弱性を悪用した攻撃から Web アプリケーションを防御
御脆弱性を悪用した攻撃を検出
出複数の Web アプリケーションへの攻撃をまとめて防御

出典：独立行政法人情報処理機構
Web Application Firewall 読本


Web Applica Firewa
tion llと Firewallの違い
Firewa は、通信における送信元情報と送信先情報（ I P アドレスやポート番号等）を基にアクセスを
ll
制限する機能を有します。
FW を使用する事で、サーバで動作しているサービスとの通信を制限できますが、インターネットに公開
する
Web サーバは、 FW でアクセスを制限することができないため、 Web アプリケーションの脆弱性を悪用する
攻撃を防ぐことはできません。

一方 WAF は、 FW で制限できない「 Web アプリケーションへの通信内容を検査」することができます。
例えば、 Web アプリケーションの通信内容に、外部からデータベースを不正に操作する「 SQ L インジェク
ション攻撃」の特徴的なパターンが含まれていた場合、その通信を遮断するといった対策をとることがで
きます。



Web Applica Firewa
tion llと I PS の違い
WAF と I PS は、どちらも検出パターンに基づいて、通信の中身を検査します。
I PS は、 Web サイト運営者が設定する検出パターンに基づいて、様々な種類の機器への通信を検査する機
能を
有します。一般的に I PS は、様々な種類の攻撃（ OS の脆弱性を悪用する攻撃、ファイル共有サービスへ
の攻撃等）を防御できます。 I PS は、攻撃の詳細を定義した検出パターンである「ブラックリスト」によ
る検査により、攻撃を防御します。
一方 WAF は、 Web サイト運営者が設定する検出パターンに基づいて、 Web アプリケーションへの通信を検
査します。 I PS が様々な種類の攻撃を防御できることに対して、 WAF は Web アプリケーションへの攻撃
を防御できます。
特に、 WAF では保護する対象が Web アプリケーションに特化しています。
I PS の動作イメージ WAF の動作イメージ



Web Applica Firewa
tion llの機能

サイトのセキュリティを保つためには、ＦＷ／ＩＳＰだけでは、不十分です！
のセキュリティ対策に WAF を加えることで、 Web アプリケーションに対する脆弱性対応が可能となりま

FW I PS WAF


Scutum について


サービスの特徴


代表的な脅威について


サービスご提供までの流れ

★ 証明書の準備を並行して行うことにより、
　　　 2 週間から最大 4 週間程度で導入可能です。

お客様管理画面


ログ管理画面

★ ログは最大 5 年間保管。お客様のご指示による提示も可能です。

ご注意事項


FAQ


ご参考情報


Scutum 導入実績

2012 年 7 月現在　 250 サイト


従来型 WAF vs. Scutum


サービス価格表


運用コスト比較（ WAF アプライアンス自社導入 vs. Scutum ）
試算想定条件：回線帯域～ 50Mbps,10FQDN まで ,WAF 冗長構成，保守は 24 時間 365 日を想定
　　　　　　　　　　※アプライアンス導入時の運用 SE については、専門知識をもった SE の稼働を 0.5MM として試算
　　　　　　　　　　※自社導入時の導入作業費は、一般的な市場価格を想定

■WAF アプライアンス　導入・運用費用試算
機器費　数量標準単価標準価格計
Barracuda Web Application Firewall 460
WAF アプライアンス 2 1,890,000 3,780,000
初年度シグネチャ更新費用含む
導入作業費　数量標準価格標準価格合計
設計・構築費試験・初期チューニング設計・構築費 1 1,200,000 1,200,000
運用費　数量標準価格標準価格合計
運用 SE コスト専任 SE アサイン（ 0.5MM) 　※初年度より発生 12 350,000 4,200,000
HW 保守費オンサイト保守（ 24H365D ）　※次年度より発生 2 151,200 302,400
SW 保守費シグネチャ更新等メーカー保守費　※次年度より発生 2 624,750 1,249,500
　　　　　
　　
初年度費用合計 2 年間の運用 ¥9,180,000
2 年間合計コストを比べて下 ¥14,931,900
さい！
■Scutum 　導入・運用費用試算
WAF アプライアンス SaaS 型サービスのため不要 0 0 0
事前テストは無料サポート 0 0 0
サービス初期費用
初期費用 (10Mbps ～ 50Mbps レンジ） 1 198,000 198,000
月額運用費 Scutum 月額運用費 12 148,000 1,776,000
HW 保守費 SaaS 型サービスのため不要 2 0 0
SW 保守費 SaaS 型サービスのため不要 2 0 0
　　　　　
　　
初年度費用合計 ¥1,974,000
2 年間合計 ¥3,750,000

運用コスト比較（ WAF アプライアンス自社導入 vs. Scutum ）
試算想定条件：回線帯域～ 50Mbps,10FQDN まで ,WAF 冗長構成，保守は 24 時間 365 日を想定
　　　　　　　　　　※アプライアンス導入時の運用 SE については、専門知識をもった SE の稼働を 0.5MM として試算
　　　　　　　　　　※自社導入時の導入作業費は、一般的な市場価格を想定

■WAF アプライアンス　導入・運用費用試算
ご参考： 5 年間の費用比較
Barracuda Web Application Firewall 460
WAF アプライアンス 2 1,890,000 3,780,000
初年度シグネチャ更新費用含む
設計・構築費試験・初期チューニング設計・構築費 1 1,200,000 1,200,000
運用 SE コスト専任 SE アサイン（ 0.5MM) 　※初年度より発生 12 350,000 4,200,000
HW 保守費オンサイト保守（ 24H365D ）　※次年度より発生 2 151,200 302,400
SW 保守費シグネチャ更新等メーカー保守費　※次年度より発生 2 624,750 1,249,500
　　　　　
　　
初年度費用合計 5 年間では ¥9,180,000
5 年間合計 2000 万円以上 ¥32,187,600
に・・・
■Scutum 　導入・運用費用試算
WAF アプライアンス SaaS 型サービスのため不要 0 0 0
事前テストは無料サポート 0 0 0
サービス初期費用
初期費用 (10Mbps ～ 50Mbps レンジ） 1 198,000 198,000
月額運用費 Scutum 月額運用費 12 148,000 1,776,000
HW 保守費 SaaS 型サービスのため不要 2 0 0
SW 保守費 SaaS 型サービスのため不要 2 0 0
　　　　　
　　
初年度費用合計 ¥1,974,000
5 年間合計 ¥9,078,000

OEM パートナー　セキュアスカイ・テクノロジーについて
■Web アプリケーション診断サービス
■Sa S 型 WAF サービス　「 Scutum 」
a
は何れも弊社ビジネスパートナーである、株式会社セキュアスカイ・テクノロジー社の OEM となります。

サービス提供

・ Web 脆弱性診断サービス提供
OEM/ 相互連携
Web アプリケーション
診断サービス

エンジン開発元・ Web 脆弱性診断サービスエンジン提供

OEM 販売
・お客様契約窓口
・ Scutum 導入支援
・導入後のシステムコンサルティング
OEM/ 相互連携

Scutum
サービス提供元
・ Scutum センター運用（運用 / 保守）
・ 24 時間 365 日コール受付窓口


㈱アイ・シー・アイについて

フロントシステムコンサルティング＆インテグレーションサービス
『バリューネットワーク
コミュニケーション戦略支援の創造

社会・企業・消費者をつなぐバリューネットワークの企画・推進

私たちは、これまでのＩＴ活用を一新するために集結した「コミュニケーションイノベーター」です。
本来の I T の目的を
　　　　　　　「社会・企業が効率化され、人が楽をするための道具」ではなく、
　　　　　　　「社会・企業が潤い、人が輝くための価値を生む道具」
であると考え、そのためには、人と人、組織と組織、社会と社会のコミュニケーションを、ＩＴを活用
して改革していかなければならないと考えております。


会社概要

社名株式会社　アイ・シー・アイ
Internet ＆ Communication Innovator, Ltd.

設立 2009 年 4 月 1
日
資本金 8,250 万円　（ 2010 年 1 月 1 日現在）

代表取締役竹内　伸

事業内容 ① フロントシステムコンサルティング＆インテグレーシ
ョン
② コミュニケーション戦略支援
③ バリューネットワークの企画・推進
所在地東京都港区愛宕 1 丁目 6 番 8 号　愛宕小西ビル 501
　　　代表電話　：　 03-6459-0063 ／ FAX 　：　
03-3437-5197
電気通信事業　（届出番号　 A-21-10496 、届出年月日　平成 21 年 5 月 13 日）
特定労働者派遣事業　（届出受理番号　特 13-311151 、届出受理年月日　平成 21 年 4 月 28
日）

OEM パートナー　セキュアスカイ・テクノロジーについて
会社概要

乗口雅光
－リクルート、シーメンスを経て
㈱ネットマークスにてセキュリティ事業を
立ち上げ、 2006 年独立、 SST を設立

2006 年に設立したセキュリティ専門企業。設立当初より自社開発ツールを用いた Web
アプリケーション脆弱性検査でシェアを伸ばし、 2009 年より WAF のサービス事業を展
開。
Scutum は 2012 年 7 月現在 250Web サイトが採用、 WAF サービス市場国内シェ
ア 76 ％を誇る。 Copyright © 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 43

I-C-I　Webセキュリティサービスのご紹介

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to I-C-I　Webセキュリティサービスのご紹介

Similar to I-C-I　Webセキュリティサービスのご紹介 (20)

Recently uploaded

Recently uploaded (10)