データベース脆弱性診断
データベース診断サービスでは、データベース特有のセキュリティ問題を洗い出し、データベースへの不正侵入や情報漏えい、改ざん等のリスクが存在しないかを診断し、検出された問題点およびその改善策を報告します。
サービス内容
専門技術者が「手作業」で診断を実施
診断ツールでは検出不可能な脆弱性の検出も可能
データベースとセキュリティに関する豊富な知識と経験を持つ技術者が、診断ツールとマニュアルオペレーションによりデータベースのセキュリティ上の問題点を洗い出します。マニュアルオペレーションによる診断を実施することにより、診断ツールを主体として利用するデータベース診断で発生する誤検知や検知漏れを防ぎます。
対応データベース
Oracle 8/8i/9i/10g/11g/12c
Microsoft SQL Server 2000/2005/2008/2012/2014/2016/2017/2019
MySQL 4.x/5.x/8.0
PostgreSQL 9.x
診断項目
| 1.アクセス権限設定 |
|---|
| データベース接続ユーザに対する権限の付与状況や、ロールの利用状況を確認します。 |
| 2.不要なアカウント |
| データベースインストール時に作成される不要なアカウントが有効になっていないか確認します。 |
| 3.容易に推測可能なパスワード |
| データベース接続アカウントにデフォルトパスワードや容易に推測可能なパスワードが設定されていないか確認します。 |
| 4.不要なストアドプロシージャ設定 |
| 悪用されると危険なストアドプロシージャが有効になっていないか確認します。 |
| 5.不要なサービス |
| データベースソフトウェアに付随してインストールされるソフトウェアで不要と思われるサービスが稼働していないか確認します。 |
| 6.監査設定 |
| 監査機能が適切に設定されており、監査ログが適切に保存されているか確認します。 |
| 7.ネットワーク設定 |
| ネットワークアクセスが適切に制御されており、必要最低限のアクセスのみを許可する設定となっているか確認します。 |
| 8.パッチ適用状況 |
| データベースソフトウェアの脆弱性を修正するセキュリティパッチが適用されているか確認します。 |
