サーバ設定診断サービス
サービス概要
サーバ設定診断サービスは強固なセキュリティ状態を目指したいお客様向けのサービスです。本サービスは診断対象サーバのOSや主要ミドルウェアのセキュリティ設定状況について、各種セキュリティベンチマーク(CIS、DISA STIGs、CCE等)の設定項目への準拠状況を調査し、セキュリティ上の改善のポイントを洗い出すサービスです。
オンプレミスで稼働しているサーバやクライアントPCの他にも、AWSやAzureといったクラウドのサーバ、ApacheやOracleといったミドルウェアも対象とすることができます。
CIS Benchmark
CIS(Center for Internet Security)は、システムを安全に構成するためのベストプラクティスを研究・開発している非営利団体で、その研究成果として公開されている基準がCIS Benchmarkです。CIS Benchmarkはレベル1とレベル2に分けられており、レベル2の方がより強固なセキュリティを要求するものですが、これに準拠することでシステムの動作に影響を及ぼす可能性もあります。一般的な企業ではレベル1で十分と考えられます。
DISA STIGs
DISA(Defense Information System Agency(アメリカ国防情報システム局))がサイバーセキュリティ要件として公開している基準がSTIGs(Security Technical Implementation Guides)です。主にアメリカの政府機関向けに定義された基準となっているため、CISベンチマークより要求される基準が高いものとなっています。
CCE
CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)は、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)の構成要素のひとつで、コンピュータのベースラインのセキュリティを確保するために必要となる設定項目を一覧として提供しています。
サービス内容
- 事前のヒアリングの実施
- 監査対象サーバのOSやミドルウェアなど、システム関連情報を確認
- 適用ベンチマークの選定
- 監査に必要な情報の提供依頼(管理者アカウント情報等)
- 弊社監査用PCを持ち込み、監査対象サーバと疎通できるネットワークに接続
- 調査結果を持ち帰り、分析を実施
- 準拠状況を精査し、一覧としてとりまとめる
- 報告書を作成し、提出
価格
個別見積りとなりますので、お問い合わせください。
サービスの流れ
サービスのご説明
機密保持契約書のご締結
サービス実施
報告会開催(報告書ご提出)
ご注文いただいた後、担当アナリストからご担当者様へ、診断方法について事前にご説明打ち合わせを行い、内容・実施日などを調整させていただきます。
機密保持契約書を締結させていただき、セキュリティ診断のサービスを実施いたします。
診断完了後、結果をとりまとめ、報告書をご提出するとともに、報告会にて詳しく解説いたします。