HOME > ソリューション > ITソリューション > SIP/VoIPセキュリティ診断

ソリューション solution

SIP/VoIPセキュリティ診断

  • お問合わせ
  • 印刷

通信事業者やSIP関連機器開発ベンダ向けに提供する、システムの脆弱性やセキュリティリスクに関する診断サービスです。

IP電話システムのIP化によるセキュリティの脅威についての不安やご心配については、ご遠慮なくお問い合わせください。

診断サービスの特色

  • SIPとセキュリティ事情に精通したエンジニアによる、SIPやRTPを対象とした診断サービスです。
  • のべ130以上の診断実績。
  • 既知のセキュリティリスクはもちろん、将来発生しうる問題の検出、未然に防止します。
  • CVSS(Common Vulnerability Scoring System)※による影響、リスクの可視化と対応プライオリティ付けを可能にします。
  • 単なるセキュリティインシデント対策ではなく、SIP/VoIPシステムの運用に不可欠な
    − サービスの安定性、継続性向上
    − 信頼性向上
    − データ一貫性維持
    − システム可用性維持
    に貢献いたします。

診断サービスの導入効果

  • 課題の存在を可視化します。
  • 対策の必要性、緊急度に対し正確な判断を可能にします。
  • 存在脅威に対して適切なコスト範囲での対応を可能にします。
  • 導入時や運用に必要なセキュリティポリシーを策定し、PDCAサイクルの向上に貢献します。

診断サービス事例

  • セキュリティ監査の一部として(通信事業者、企業向け)
  • 通信キャリア様が実施する、RFP等によるシステム導入前の納入前診断義務付け
  • SIP端末開発ベンダ様の出荷前品質確認検査
  • 開発ベンダ様でのセキュリティ設計方針作成サポート

診断対象

SIPを実装している機器VoIPサーバ
SIPゲートウェイ
SBC
FireWall
SIPクライアント
VoIP端末
診断対象プロトコル基本SIP (UDP, TCP) TLS上のSIPはご相談下さい
RTP
RTCP
オプションL3プロトコル(IP)
L4プロトコル(TCP、UDP等)
HTTP、DNS
診断対象システムに対し、プロトコル横断的に脆弱性を検出
することも可能です。詳細はお問い合わせください。

標準診断項目

表中、(*)印の項目は自動試験を表します。
自動試験は2時間以上試験実施者のアテンドが不要なもので、週末や夜間等無人での実施が可能です。

カテゴリ 診断種別(大) 診断種別(小) 試験項目数
SIP セッション推測の容易性 ダイアログのランダム性の確認 32
Replay Attack 27
プロトコルスタック確認 MC/BC/LBアドレスへの対応 52
Method動作確認 35
ヘッダ動作確認 130
サービス停止 SIP DoS/DDoS (*) 21
Malformed Method(Request) (*) 2,285,114
Malformed Method(Response) (*) 2,207,154
Event log poisoning 1
不正情報アクセス ID/Number Harvesting(UserID/番号不正取得) 47
Password Cracking 8
SQL Injection (情報漏洩/改ざん) 69
呼の横取り Registration Attack着信経路不正操作) 20
Call Hijacking 8
通話の強制切断 CANCEL Attack 6
BYE Attack 6
発信者詐称 Caller ID Spoofing 21
盗聴 Eavesdropping 2
その他 その他(機能呼等) 37
RTP/
RTCP
通話/サービス停止 RTP Malformed Packet (*) 28
通話異常 RTP Insertion (*) 2
Seq/Timestamp異常 (*) 22
通話の強制切断 RTCP異常 (*) 268
その他 サービス停止 ICMP flood (*) 10
Portscan (*) 4
実施試験全体 4,493,124

※試験項目は2013年4月現在のものです。実際の診断項目は、診断前に実施する診断対象の仕様確認結果や、新たに発見された攻撃方法、脆弱性により増減します。

診断実施の流れ

作業 内容 標準的な期間
診断依頼
診断内容打ち合わせ 実施場所、診断環境、診断対象、全体スケジュールの調整を行い、御見積を作成します。必要に応じてNDAを先に締結いたします。 2週間程度
ご契約
仕様Q&A・
詳細スケジュール確定
サービス、ネットワーク環境および試験対象機器について、仕様QAを行い、診断実施項目の決定と、診断ツールの改造を行います。また、詳細試験実施スケジュールを確定します。 1週間程度
診断実施準備・
環境構築
診断用のPCをお客様環境に持ち込み、接続性の確認を行います。また、診断対象機器の状態確認方法や操作方法などについてお知らせいただきます。 1日
診断実施 診断実施期間中は、診断の進捗と発見した問題についての日報を提出します。診断は基本的にエンジニア単独で試験を進めますが、問題発生時の切りけなどにご協力いただくことがあります。 2〜3週間
報告書作成 診断実施後、問題となった部分のログ整理や、CVSSを用いた問題の評価を行い、報告書を作成します。 5日
報告会実施 お客様の指定場所にて1回報告会を実施します。 1日
報告会実施後Q&A 報告会や報告書の内容についての質問期間です。 1週間
ご検収