NRIセキュアテクノロジーズ


News Release
セキュリティ診断サービスに「データベース診断」を追加
〜データベースのセキュリティを診断して適切な対策方法を提示〜

2006年7月3日
NRIセキュアテクノロジーズ株式会社
 NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:増谷 洋、以下「NRIセキュア」)は、セキュリティ診断サービスに新メニュー「データベース診断」を追加し、本日、サービスの提供を開始します。
 「データベース診断」は、データベース・システムに潜んでいるセキュリティの問題点を発見し、具体的な対策を提示するものです。これにより、お客様は、適切かつ効率的にデータベース・システムのセキュリティを向上させることができます。

 近年、SQLインジェクション*1 などによる不正アクセスや、内部関係者による情報漏えい事件などが頻発し、その手口は巧妙になってきています。企業では、これらの脅威への対策、さらに、内部統制の強化といった観点からも、データベースそのもののセキュリティを強化する必要が出てきています。
 NRIセキュアでは、このようなニーズの高まりを受けて、「データベース診断」をセキュリティ診断サービスの新メニューとして追加しました。このメニューは、1データベースあたり、150万円より提供します。

 NRIセキュアのセキュリティ診断サービスの特長は、過去に100システム以上の診断実績を持つ経験豊富なコンサルタントが診断を実施することです。これらのコンサルタントは、米国SANS Institute*2 のトレーニングコースを修了するとともに、国内外のセキュリティ関連の資格*3 を保有する業界トップレベルの高いスキルを備えています。
 NRIセキュアのセキュリティ診断サービスは、「Webアプリケーション診断」「プラットフォーム診断」など、金融機関を中心に850件以上の診断実績をつんでいます。

 データベースのセキュリティ対策は、専門的な知識を必要とする難易度の高い作業です。この対策を適切かつ効率的に行うためには、専門家によるセキュリティ診断を受けることが必須です。NRIセキュアは、これまでに幅広い範囲のシステムに対して、データベースのセキュリティ強化コンサルティングやセキュリティ診断など数多くのサービスを提供してきました。これらを通じて得られたノウハウを活かしながら、NRIセキュアは、今後も、データベース・システムのセキュリティ・レベルを強化するサービスを提供していきます。


*1 SQLインジェクション: Webサイトのセキュリティ欠陥を悪用して、データベース上の情報を不正に取得、破壊するなどの不正アクセス行為。データベース言語のSQLで書かれた命令の中に、不正な命令を注入(インジェクション)することから、SQLインジェクションと呼ばれる。2005年頃から、この手法による情報漏えい事件が多発し、注目されている。
*2 米国SANS Institute: 1989年に米国において、政府系機関、一般企業、大学等教育機関を対象に、情報セキュリティの調査・研究・教育を目的として設立された組織。セキュリティの専門家や情報システム監査人、システム管理者、ネットワーク管理者などを対象に、情報セキュリティに関するトレーニングプログラムや認定試験などを提供。
*3 関連資格: GIAC、CISSP、CISA、CISM、情報セキュリティアドミニストレータなど。

【ニュースリリースに関するお問い合わせ先】
NRIセキュアテクノロジーズ株式会社 情報セキュリティ調査室 アセスメントチーム
TEL:03-6274-1011 E-mail:

【ご参考】

●データベース診断の詳細
1.主な診断項目
アカウントとパスワードの設定
アクセス権限の設定
不要なアカウント、ストアドプロシージャ、サービスの存在
監査の設定
ネットワーク接続の設定
パッチの適用状況

2.サービスに含まれる内容
お客様の環境にて実機による診断を実施
緊急対策が必要な問題点が発見された場合、診断当日に緊急報告
診断で発見されたすべての問題点、推奨する対策案、対策の優先度をまとめた簡易報告書(ブリーフメモ)の作成
診断の総評、各種分析などを含む詳細な最終報告書の作成
お客様のオフィスにて診断結果を報告

3.オプション・サービス
休日や深夜の診断
関東近郊以外での診断や報告会の実施
データベース設計についての詳細なコンサルティング

4.診断対象データベース製品
Oracle 8i、9i、10g
Microsoft SQL Server 7、2000

5.価格
  1,500,000円〜 (1データベースあたり)



●NRIセキュアの「セキュリティ診断サービス」の概要と特徴
1.提供中のメニュー
Webアプリケーション診断
プラットフォーム診断
無線LANアセスメント
モデムアセスメント
アーキテクチャ・レビュー

2.担当者の高いスキルと豊富な経験に裏付けられた技術力
主担当としてセキュリティ診断を実施するコンサルタントは、下記の条件をすべて満たす業界トップレベルの高いスキル・豊富な経験を保有しています。
セキュリティ診断の経験が2年以上、かつ100システム以上のセキュリティ診断を担当
米国The SANS Instituteが主催する専門的なトレーニングコースを修了
GIAC、CISSP、CISA、CISM、情報セキュリティアドミニストレータなどのセキュリティ関連資格を保有

3.大手金融機関から認められた実績のあるサービス
金融機関や東証一部上場企業を中心とする多くの企業での実績があります。大手オンライントレード、オンラインバンキングなどのサイトのセキュリティ向上に貢献し、お客様より高い評価をいただいています。

4.豊富な診断実績
プラットフォーム診断約480件、Webアプリケーション診断約370件、計850件以上の診断実績(2006年4月1日現在)
銀行・証券など、高度なセキュリティが要求されるサイトでの実績多数

5.その他の特徴
発見された問題点への推奨対策を含む報告書
過去の診断実績と比較した評価(ランキング)の提示
診断後3営業日以内に簡易報告書(ブリーフメモ)を提出する迅速なフィードバック
実施1ヶ月以内の対策状況の確認


当リリースに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright (c)2006 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries : webmaster@nri.co.jp