近年頻発するSQLインジェクションによる不正アクセス被害の拡大防止、内部関係者による情報漏洩への対策、内部統制の強化といった観点から、データベースのセキュリティを総合的に診断します。

診断ツールを利用するとともに、経験豊富な専門家が手作業(マニュアル)による診断も行います。これにより、ツールでは検知されない問題の発見、誤検知の排除、監査証跡の取得、発見された問題を実際に悪用できるかどうかの検証といった点で、診断の品質を向上させることができます。

【主な診断項目】

• アカウント、パスワードの設定
  パスワードを初期設定から変更しているか、簡単に推測できるパスワードを設定していないかなどを診断します。
• アクセス権限の設定
  DBAなどの特権を不要に与えていないか、ロールを適切に利用しているかなどを診断します。
• 不要なアカウント、ストアドプロシージャ、サービスの存在
  デフォルトアカウントなどの不要なアカウント、悪用されると危険なストアドプロシージャなどが存在しないかを診断します。
• 監査の設定
  監査設定、監査データへのアクセス権などを診断します。
• ネットワーク接続の設定
  リスナーの設定、信頼関係の設定、送信するパスワードの暗号化状況などを診断します。
• パッチの適用状況
  セキュリティ・アップデート・プログラム(パッチ)を適用し、既知の問題に適切に対策しているかなどを診断します。

主担当としてセキュリティ診断を実施するコンサルタントは、下記の条件をすべて満たす業界トップレベルの高いスキル・豊富な経験を保有しています。

• セキュリティ診断の経験が2年以上、かつ100システム以上を担当※
  ※2008年12月1日現在
• 米国The SANS Instituteが主催する専門的なトレーニングコースを修了
• 各種セキュリティ関連資格を保有

頻発する不正アクセス事件や新しい攻撃方法に対応するため、診断項目や利用するツールの見直しを随時行っています。