セキュアワークスは2020年4月14日、テレワーク環境を対象としたセキュリティ診断サービス「リモートアクセス脆弱性アセスメント」を発表した。同日提供を開始した。ネットワークのセキュリティ診断、パスワードの推測調査、Webアプリケーション診断を組み合わせて提供する。打ち合わせ、診断、報告会などをすべてリモートで実施する。価格(税別)は、基本サービスで1台あたり80万円。
セキュアワークスの「リモートアクセス脆弱性アセスメント」は、リモートアクセス機能を持つVPNルーターやファイアウォールを対象に、ネットワークのセキュリティ診断、パスワードの推測調査、SSL-VPNのWebログイン画面を想定したWebアプリケーション診断を組み合わせて提供する。
診断範囲は、グローバルIPアドレス(またはホスト名)×10アドレスまで。オプションで、リモートアクセス機器の設定ファイルも診断する。診断に必要な期間は、診断が3営業日、報告書作成が5営業日。サービス申し込み後は、打ち合わせ、診断、報告会などを、すべてリモートで実施する。
- 対象システム:リモートアクセス機能を有するネットワークシステム・サービス(例:VPNゲートウェイ、ルーター、ファイアウォールなど)
- 診断内容:
- ネットワークセキュリティ診断
- パスワード推測調査
- Webアプリケーション診断:SSL-VPNのWebログイン画面を想定
- 対象範囲:グローバルIPアドレス(またはホスト名)10アドレスまで
- 実施期間:診断3営業日、報告書5営業日
- ロケーション:打ち合わせ、診断、報告会などすべてリモートで実施
- オプション:リモートアクセスシステムの設定ファイルの診断(診断対象と同一システムが前提、なお、一部のシステムとサービスではオプションサービスを利用できない)
製品提供の背景について同社は、新型コロナウイルス対策で急遽テレワークに取り組むことになった組織が多いことを挙げる。「こうしたケースでは、十分に検証していないVPNシステムを利用することもあり、安易なログインパスワードや、設定・アップデートの不備など、脆弱性が放置されているケースが考えられる」(同社)。
同社によると、2019年には、実際にVPNシステムを悪用したインシデントが大量に発生し、JPCERT/CCから注意喚起が出ている。脆弱性が悪用されると、攻撃者によってリモートから任意のコードを実行される可能性もある。認証情報などの情報が漏洩する可能性もある。
