ソリューション・サービス
SOLUTION SERVICE
SIP/VoIPセキュリティ診断サービス
通信事業者やSIP関連機器開発ベンダ向けに提供する、システムの脆弱性やセキュリティリスクに関する診断サービスです。
診断サービスの特色
- SIPとセキュリティ事情に精通したエンジニアによる、国内唯一のSIPやRTPを対象とした診断サービスです。
- のべ50以上の診断実績。
- 既知のセキュリティリスクはもちろん、将来発生しうる問題の検出、未然に防止します。
- CVSS(Common Vulnerability Scoring System)※による影響、リスクの可視化と対応プライオリティ付けを可能にします。
- 単なるセキュリティインシデント対策ではなく、SIP/VoIPシステムの運用に不可欠な
-サービスの安定性、継続性向上に貢献いたします。
- 信頼性向上
- データ一貫性維持
- システム可用性維持
診断サービスの導入効果
- 課題の存在を可視化します。
- 対策の必要性、緊急度に対し正確な判断を可能にします。
- 存在脅威に対して適切なコスト範囲での対応を可能にします。
- 導入時や運用に必要なセキュリティポリシーを策定し、PDCAサイクルの向上に貢献します。
診断サービス事例
- セキュリティ監査の一部として(通信事業者、企業向け)
- 通信キャリア様が実施する、RFP等によるシステム導入前の納入前診断義務付け
- SIP端末開発ベンダ様の出荷前品質確認検査
- 開発ベンダ様でのセキュリティ設計方針作成サポート
診断対象
| SIPを実装している機器 | VoIPサーバ SIPゲートウェイ SBC FireWall SIPクライアント VoIP端末 | |
|---|---|---|
| 診断対象プロトコル | 基本 | SIP (UDP, TCP) ※TLS上のSIPはご相談下さい RTP RTCP |
| オプション | L3プロトコル(IP) L4プロトコル(TCP、UDP等) HTTP、DNS | |
標準診断項目
表中、(*)印の項目は自動試験を表します。
自動試験は2時間以上試験実施者のアテンドが不要なもので、週末や夜間等無人での実施が可能です。
自動試験は2時間以上試験実施者のアテンドが不要なもので、週末や夜間等無人での実施が可能です。
| カテゴリ | 診断種別(大) | 診断種別(小) | 試験項目数 |
|---|---|---|---|
| SIP | セッション推測の容易性 | ダイアログのランダム性の確認 | 52 |
| Replay Attack | 1 | ||
| プロトコルスタック確認 | MC/BC/LBアドレスへの対応 | 30 | |
| Method動作確認 | 20 | ||
| ヘッダ動作確認 | 45 | ||
| サービス停止 | SIP DoS/DDoS (*) | 12 | |
| Malformed Method(Request) (*) | 2,285,114 | ||
| Malformed Method(Response) (*) | 2,207,154 | ||
| Event log poisoning | 1 | ||
| 不正情報アクセス | ID/Number Harvesting(UserID/番号不正取得) | 10 | |
| Password Cracking | 18 | ||
| SQL Injection (情報漏洩/改ざん) | 40 | ||
| 呼の横取り | Registration Attack着信経路不正操作) | 7 | |
| Call Hijacking | 4 | ||
| 通話の強制切断 | CANCEL Attack | 6 | |
| BYE Attack | 6 | ||
| 発信者詐称 | Caller ID Spoofing | 19 | |
| 盗聴 | Eavesdropping | 2 | |
| その他 | その他(機能呼等) | 22 | |
| RTP/ RTCP |
通話/サービス停止 | RTP Malformed Packet (*) | 24 |
| 通話異常 | RTP Insertion (*) | 1 | |
| Seq/Timestamp異常 (*) | 22 | ||
| 通話の強制切断 | RTCP異常 (*) | 268 | |
| その他 | サービス停止 | ICMP flood (*) | 10 |
| Portscan (*) | 3 | ||
| 実施試験全体 | 4,492,891 | ||
※試験項目は2010年4月現在のものです。実際の診断項目は、診断前に実施する診断対象の仕様確認結果や、新たに発見された攻撃方法、脆弱性により増減します。
診断実施の流れ
| 作業 | 内容 | 標準的な期間 |
|---|---|---|
| 診断依頼 | - | |
| 診断内容打ち合わせ | 実施場所、診断環境、診断対象、全体スケジュールの調整を行い、御見積を作成します。必要に応じてNDAを先に締結いたします。 | 1ヶ月程度 |
| ご契約 | - | |
| 仕様Q&A・ 詳細スケジュール確定 |
サービス、ネットワーク環境および試験対象機器について、仕様QAを行い、診断実施項目の決定と、診断ツールの改造を行います。また、詳細試験実施スケジュールを確定します。 | 2週間程度 |
| 診断実施準備・ 環境構築 |
診断用のPCをお客様環境に持ち込み、接続性の確認を行います。また、診断対象機器の状態確認方法や操作方法などについてお知らせいただきます。 | 1日 |
| 診断実施 | 診断実施期間中は、診断の進捗と発見した問題についての日報を提出します。診断は基本的に弊社エンジニア単独で試験を進めますが、問題発生時の切りけなどにご協力いただくことがあります。 | 2~3週間 |
| 報告書作成 | 診断実施後、問題となった部分のログ整理や、CVSSを用いた問題の評価を行い、報告書を作成します。 | 5日 |
| 報告会実施 | お客様の指定場所にて1回報告会を実施します。 | 1日 |
| 報告会実施後Q&A | 報告会や報告書の内容についての質問期間です。 | 1週間 |
| 検収 | - |
