SIP/VoIP セキュリティ診断サービス

SIPとセキュリティ事情に精通したエンジニアによる、国内唯一のVoIPやIMS網を対象とした診断サービスです。通信事業者やSIP関連機器の開発ベンダー向けに、システムの脆弱性やセキュリティリスクに関する診断を実施し、検出したセキュリティリスクに適切な対策をご提案します。

security-auditservice.png

特長

国内唯一のサービス
SIPとセキュリティ事情に精通したエンジニアによる、国内唯一のSIPやRTPを対象とした診断サービスです。
多数の診断実績に基づいたコンサルティング
SIP関連システムを中心に、のべ250以上におよぶ診断実績を基に適切な診断を実施し、高度なセキュリティ対策をご提案します。
リスクの可視化
CVSS(Common Vulnerability Scoring System)※を用いてセキュリティリスクと影響を可視化し、各リスクに対する対応へのプライオリティ付けを容易にします。
将来の課題への対応も可能
既知のセキュリティリスクはもちろん、将来発生しうる問題を検出し未然に防止することが可能です。
SIP/VoIPシステムの運用にも貢献
セキュリティインシデント対策だけでなく、SIP/VoIPシステム運用に不可欠な「サービスの安定・継続性・信頼性」の向上、「データ一貫性・システム可用性」の維持にも寄与します。

診断対象

SIPを実装している機器 VoIPサーバ(Softswitch、IP-PBX、メディアサーバ、電話会議システム等)
IMS Core サーバ(CSCF、AS、AGW等)
SIPゲートウェイ(SBC等)
SIPクライアント(VoIP端末、スマートフォンアプリ等)
セキュリティ対策機器(FireWall、IDS/IPS等)
診断対象プロトコル 標準 SIP (UDP, TCP)TLS上のSIPはご相談下さい
RTP
RTCP
オプション L3プロトコル(IP)
L4プロトコル(TCP、UDP等)
HTTP、DNS、Diameter、H.248
診断対象システムに対し、プロトコル横断的に脆弱性を検出することも可能です。また、SIP/VoIP以外の診断(ブロードバンドルータや携帯通信事業者のLTE網等)も承っております。詳細はお問い合わせください。

主な診断項目

表中、(※)印の項目は自動試験を表します。自動試験は試験実施者の継続的なアテンドが不要なもので、休日や夜間等無人での実施が可能です。

カテゴリ 診断種別
SIP セッションの推測
プロトコルスタックの確認
サービス妨害・停止(※)
不正情報アクセス
呼の横取り・盗聴
通話の強制切断
発信者詐称
その他
RTP/RTCP 通話/サービス停止(※)
通話異常(※)
通話の強制切断(※)
その他 ICMP flood
Portscan

試験項目は2019年1月現在のものです。実際の診断項目は、診断前に実施する診断対象の仕様確認結果や、新たに発見された攻撃方法、脆弱性により増減します。

診断実施の流れ

作業 内容 標準的な期間
診断依頼
診断内容打ち合わせ 実施場所、診断環境、診断対象、全体スケジュールの調整を行い、御見積を作成します。必要に応じてNDAを先に締結いたします。 2週間程度
ご契約
仕様Q&A・詳細スケジュール確定 サービス、ネットワーク環境および試験対象機器について、仕様QAを行い、診断実施項目の決定と、診断ツールの改造を行います。また、詳細試験実施スケジュールを確定します。 1週間程度
診断実施準備・環境構築 診断用のPCをお客様環境に持ち込み、接続性の確認を行います。また、診断対象機器の状態確認方法や操作方法などについてお知らせいただきます。 1日
診断実施 診断実施期間中は、診断の進捗と発見した問題についての日報を提出します。診断は基本的に弊社エンジニア単独で試験を進めますが、問題発生時の切りけなどにご協力いただくことがあります。 2~3週間
報告書作成 診断実施後、問題となった部分のログ整理や、CVSSを用いた問題の評価を行い、報告書を作成します。 5日
報告会実施 お客様の指定場所にて1回報告会を実施します。 1日
報告会実施後Q&A 報告会や報告書の内容についての質問期間です。 1週間
ご検収

この製品の事例