クラウドソースセキュリティテストプラットフォーム(Synack)
- TOP
- ソリューション・サービス
- セキュリティ
- クラウドソースセキュリティテストプラットフォーム(Synack)
「継続性」「一元管理」「量的可視化」を実現する
セキュリティテスト・プラットフォーム
- 世界最高峰のエシカルハッカーチームと独自のAIスキャナーにより、高品質のセキュリティテストを提供します。
- 組織やグループ企業全体のセキュリティテストを一元管理し、コストやナレッジの可視化・最適化が実現します。
- 年間を通した継続的なテストにより、深刻なゼロデイにも迅速な対応が可能となります。
検査対象
●インフラストラクチャー
対象インフラの例:DNSサーバー、HTTPサーバー、アプリケーションサーバー、Proxyサーバー、DBサーバー、ファイルサーバー、IMAP/SMTPサーバー、LDAPサーバー、認証サーバー、VPNサーバー、VMwareサーバー、ネットワーク機器、セキュリティ機器、他
●Webアプリケーション
●モバイルアプリケーション
検査項目の例
●ホスト/ネットワーク層
DNSゾーン転送、EOLのオペレーティングシステムやサービス、情報漏えい、権限昇格の欠陥、リモートコード実行
●アプリケーション層
認証・認可スキーマバイパス、コードインジェクション、コマンドインジェクション、ディレクトリトラバーサル/ファイルインクルード、IMAP/SMTPインジェクション、サブドメインテイクオーバー
●既知の脆弱性
一般に知られているホスト、ネットワーク、アプリケーションの脆弱性
●保護機能
ホスト、ネットワーク、アプリケーションレベルの保護のレビュー
テストメニュー
Open Vulnerability Discovery (OVD)
世界最高峰のエシカルハッカーチームによる手動診断
合格率10%の狭き門を通過したサイバーセキュリティーのエリート集団である「Synack Red Team (SRT)」による診断を実施します。1つのプロジェクト当たり約60~80名が参加し、集団力とバグ・バウンティプログラム(脆弱性発見報奨金制度)※による競争力によって、組織に内在する悪用可能な脆弱性を洗い出します。継続的な監視体制を組むことでゼロデイにも迅速な対応が可能です。
※バグ・バウンティプログラム(脆弱性発見報奨金制度)とは:
脆弱性を発見したホワイトハッカーに報奨金を支払う制度です。CVSS(共通脆弱性評価システム)を基準に、脆弱性の深刻度が高まるほど報奨金の金額も高くなります。バグ・バウンティを自社で運用しようとすると「報奨金が青天井になる」「参加者がエシカルであるかを判別できない」などのリスクが伴いますが、Synackではセキュリティテストのプラットフォームを定額で提供するため、発見された脆弱性の数や深刻度によって金額が変動することはありません。
Manual Test
チェックリストに基づいた手動診断
多様なチェック項目から必要な要素を選択し、リサーチャーによるテストを実施します。Azureセキュリティベンチマーク、NISTやOWASP提唱のガイドラインなどに準拠するための調査のほか、ヘッドレスAPIのペンテスト、さらに個別のCVEに対して自社に影響があるかなど、多彩な項目が用意されています。
Scan
AIスキャナーによる既知の脆弱性検出
Synack社独自開発のAI搭載型マルチ・プラグインスキャナー「SmartScan」により既知の脆弱性を検出します。SmartScanで発見された脆弱性は、深刻度別にクライアントポータル上のダッシュボードで可視化されます。
Synackの特徴
- 特別なシステムの導入は不要
- トラフィックやログ管理、テストの一時停止などは全てブラウザ上のクライアントポータルから確認・実行が可能
- 実際のハッカーによる”超実戦的”な攻撃者目線の診断を提供。異なる専門領域を持つエシカルハッカーがプロジェクトに参加
診断の流れ
Synackの検査はエージェントレスです。特別なインプリは必要ありません。エシカルハッカーチーム「Synack Red Team(SRT)」やAI搭載型マルチ・プラグインスキャナー「SmartScan」のアクセスは、全てセキュアゲートウェイ「Launch Point」を介して行われます。Launch Pointでは全てのトラフィックが記録され、またその情報はいつでもクライアントポータル上から確認することができます。テストの一時停止もクライアントポータルから簡単に実行可能です。
Synackの有用性1:組織の横断的管理
企業規模が大きくなると事業部単位やグループ企業単位など、組織毎にセキュリティテストの実施頻度や内容がバラバラに取り組まれるケースが少なくありません。全体の可視化ができず、結果的にコストや効果が最適化されないという弊害が起こります。Synackは組織全体のセキュリティテストをクライアントポータルで一元管理できるほか、テストの実施状況をリアルタイムで把握することができます。組織横断的に脆弱性を管理することで、ナレッジの共有やコストの最適化、そしてセキュリティテスト実施効果の最大化を実現します。
Synackの有用性2:継続監視
攻撃者達は日々報告される脆弱性やそれに関連した流出情報などを活用し、驚くほどの短期間で組織に攻撃を仕掛けます。深刻なゼロデイの発生は予測不可能であり、年数回のスポット診断だけでは、それらの脅威に対し無防備となってしまいます。ゼロデイは対応負荷が膨大にも関わらず、早急な調査や対応を行わなければ重大なインシデントに繋がり危険です。365日の継続的なモニタリングをアウトソースすることによって、世界最高峰の技術者集団が速やかに脆弱性を洗い出し、修正方針をお客様に提示します。
Synackの有用性3:世界最高峰のエシカルハッカーチーム「SRT」
Synack Red Team(SRT)はSynack社が独自に契約するエシカルハッカーの集団です。数か月におよぶ厳しい技能テストや身辺調査、そして機密保持契約によって、選び抜かれたハッカーだけが所属することを許されます。採用率10%の狭き門であるSRTは、技術力はもちろん論理感にも優れた人物である証明となり、所属することそのものが世界中のハッカーにとってステータスとなっています。世界80ヵ国以上から約1,500名が参加する、世界トップクラスのサイバーセキュリティエリートチームです。
SRTは多種多様な領域で高い知見を持つエシカルハッカーが世界中から集うエリートチーム
Synack(シナック)は、米国Synack社と契約したセキュリティ研究者・技術者などのエシカル(良識的な)ハッカーが、企業が所有するインフラシステム/アプリケーションに対し「サイバー攻撃者の視点で深刻な脆弱性の検出を試みるセキュリティテスト」と「検出した脆弱性の管理機能を提供するクライアントポータル」を統合したSaaSプラットフォームです。
Synackは、2016年に実施された米国国防総省のHPを対象としたバグ・バウンティプログラム(脆弱性発見報奨金制度)”Hack the Pentagon”に参加し、その後も継続して機密システムの指定検査ベンダーとして契約締結するなど、高い安全性と優位性を認められています。
お役立ち資料
本資料では、サービス概要や特徴、テストの流れ等について詳しくまとめています。サイバーセキュリティ対策にお悩みの方はぜひご覧ください。
セキュリティイベント・セミナー情報
AGESTでは、セキュリティに関するイベントやセミナーを随時開催しております。
一覧はこちら
