組織の重要情報が格納されているデータベースを評価するサービスです。内在するセキュリティリスクを可視化し、重大なインシデントが発生する前に有効な対策を施します。本評価では、リスクの可視化に加え、国内外のセキュリティ基準適合状況やデータベース環境・管理面に関する助言も同時に実施いたしますので、企業のリスクマネジメントに対する指標としても効果を発揮します。
設定情報とコンポーネントへ適用している各種環境設定を評価します。
必要不可欠な問題点の特定に加え、その緊急度・解決策をスピーディにお知らせします。
外部からの攻撃や内部からの情報漏えい対策として、権限設定などの管理面で配慮すべき対策や解決方法を提案します。
Oracle、MySQL、Microsoft SQL Server、PostgreSQLなど、主要なデータベースに対応しています。
※対応DBの詳細は、当社までお問い合わせください。
評価項目 | 評価内容 |
---|---|
アカウント管理に関する設定 | データベース接続ユーザに対する特権をはじめとする各種権限の付与状況や、ロールが適切に設定されているか等を診断します。 |
認証に関する設定 | セキュアな認証方式が設定されているか、デフォルトのパスワードを設定していないか等を診断します。 |
監査・ロギングに関する設定 | 保存ポリシーなど、監査やログ取得に関する各種設定が適切になされているか、監査データへのアクセス権限等を診断します。 |
パラメータに関する設定 | データベースの構成に関する各種パラメータの値がセキュリティ基準に適合しているか診断します。 |
パッチ適応状況 | 導入しているデータベースのソフトウェアに存在する脆弱性を修正するセキュリティパッチが適用されているか診断します。 |
指摘事項 | データベースにおけるアクセス制御の不備 |
---|---|
この脆弱性におけるリスク | 攻撃者がネットワークへ侵入した場合、容易にデータベースへアクセスすることが可能である。そのため、現状では、データベースに存在する個人情報をはじめとした重要情報が流出する危険性をはらんでいるといえる。 |
対策例 | ネットワーク単位でのアクセス許可に加え、パスワード認証を設定する。 |
企業の情報セキュリティ強化に向けた体制づくりを、社内ルール/情報システム両方の視点から支援しています。
ネットワーク機器の設定を静的に診断。脆弱性を抽出し改善案を提供します。
自己問診型 個人情報に関わる
情報セキュリティアセスメントサービス
情報セキュリティの観点から個人情報保護対策の現状を把握したいお客様に向けた情報セキュリティリスクアセスメントです。