セキュリティ診断サービス

システムレイヤごとの脆弱性対策を一挙に効率化 yamory

ITシステムに潜む脆弱性の対策を一元的に行うシステムです。システムレイヤ別に個別の対策を行うには膨大な負担が伴いますが、yamoriを使えば一挙に脆弱性へ対処できます。脆弱性への対策に必要な機能・サービスを網羅し、あらゆる対策をyamoriで完結させられるようになります。

【セキュリティ診断】
■Webアプリケーション診断
◇認証
・不適切な認証
・パスワードリマインダー不備
・パスワードポリシー不備
・ログアウト機能不備
・セッション情報推測
・CookieのSecure属性不備
・アカウントロック機能不備
・エラーメッセージによるユーザアカウント推測
◇権限
・権限昇格
・認可制御不備
◇クライアント側の攻撃
・Cross Origin Resource Sharing
・クリックジャッキング
◇インジェクション
・HTTPヘッダインジェクション
・クロスサイトスクリプティング
・OSコマンドインジェクション
・SQLインジェクション
・XXEインジェクション
・コードインジェクション
◇ロジックを狙った攻撃
・メールフォームの悪用
・不正な機能の利用
・オープンリダイレクト
・アップロード機能の問題
・ディレクトリトラバーサル
・CSRF

■クラウド診断
◇AWSの主な監査項目
・Rootユーザのaccess keyがないこと
・RootアカウントのMFA設定
・IAMのパスワードの要件
・IAMユーザのMFA設定
・S3の暗号化通信
・S3のパブリックアクセス許可
・S3のデータ保護
・予算のアラート設定
・CloudTrailの有効化
◇Azureの主な監査項目
・セキュリティの規定値の有効化
・ユーザーのMFA設定
・グローバル管理者のMFA設定
・ストレージの暗号化通信
・ストレージのパブリックアクセス許可
・予算アラート設定
・ストレージのデータ保護
・サブスクリプションのアクティビティログの取得

【ソフトウェア脆弱性管理】
◇スキャン機能
・ホスト
・コンテナイメージ
・アプリライブラリ
・手動登録ソフトウェア管理
・Windowsサーバー
・オープンソースライセンス違反検知
◇通知・連携機能
・Jira連携
・API連携
・通知機能
◇管理機能
・セキュリティチーム機能
・脆弱性・ソフトウェアの横断検索
・組織横断の脆弱性ダッシュボード
・脆弱性単位の対応指示
・SBOMファイル出力
・シングルサインオン
・トリアージレベルの変更・管理
・固定IP制限
・グループ企業利用

【一元的に脆弱性を管理】
yamoriは脆弱性管理のオールインワン製品です。ソフトウェアに潜む脆弱性を、yamoriだけで検出・管理できます。複数の管理ツールを使う必要はありません。

【脆弱性優先度を自動判断】
オートトリアージ機能を使うことで、対処すべき脆弱性に優先度を付与することができます。調査の工数を削減するのに役立つ機能です。外部からのアクセスに加え、攻撃用コード流通状況なども考慮して決定されます。

【OSSのリスクを可視化】
商用利用が困難なAGPLライセンスや、配布時のソースコードを公開義務、GPLライセンスといったライセンス違反のリスクを可視化する機能があります。

【緊急性がある脆弱性を早期検知】
セキュリティ分析家が、脆弱性情報を分析・評価し、データベースの更新を続けています。早いサイクルでデータベースが更新され、緊急性が高い脆弱性も迅速に検出されます。