NRIセキュアテクノロジーズは2013年10月8日、社員のパソコンや業務サーバーなどにセキュリティ上の脆弱性があるかどうかを調査し、診断書にまとめて報告するSIサービス「エンドポイントセキュリティ診断」を発表、同日提供を開始した。机上評価に加えて、実際に攻撃を試行することで、セキュリティー対策の盲点を指摘する。

 机上評価と実機評価を組み合わせて、エンドポイント(Wndows/Android/iOS)のセキュリティ上の脆弱性を評価する。調査前のヒアリングから調査後の評価報告(評価報告書の作成/提出と報告会の実施)までを含む。想定するユースケースは、クライアントPCのリプレースにおけるセキュリティ対策の妥当性診断や、新規に導入したセキュリティ対策製品の有効性評価、など。

 料金は個別見積もりだが、Active Directory環境下で同一設定のクライアントパソコン(Windows 7)を調査する場合、調査期間1カ月(ヒアリング、机上評価、オンサイトでの実機評価)で、評価報告書(1部)の作成と報告会の実施を含めて350万円(参考価格、税別)。

 机上評価では、セキュリティ要件(誰がどのように利用するか)を確認したり、導入済みのセキュリティ対策を確認したりする。ここでは、権限管理の不備(管理者権限を持つユーザーが多いなど)や、実施済み対策の問題点などを指摘する。

 続く実機評価では、セキュリティ設定上の脆弱性を攻撃したり、導入済みのセキュリティ対策の有効性を検証したりする。例えば、認証情報がアプリケーション関連ファイルから取得できる、OSの脆弱性を突いて管理者権限を奪取できる、ウイルス対策ソフトを強制的に停止できる、USBメモリーに情報をコピーできる、といった問題点を指摘する。