クラウドソース・ペネトレーションテスト(Synack)

米国国防総省や国際銀行も利用する
エシカルハッカーによるペネトレーションテスト

クラウドソース・ペネトレーションテスト・プラットフォーム “Synack”とは

クラウドソーシングによって米国Synack社と契約した在野のセキュリティ研究者・技術者などのエシカル(倫理的な)ハッカーが、企業が所有するアプリケーション/インフラシステムに対し「サイバー攻撃者の視点で深刻な脆弱性の検出を試みるセキュリティテスト」と「検出した脆弱性の管理機能を提供するカスタマーポータル」を統合したサービスプラットフォームです。

Synackの特徴

①攻撃者視点
攻撃者と同じ視点でシステムの脆弱性を検出/報告
      
②クラウドソーシング+バグバウンティ
厳しい審査を通過した高いスキルと高い倫理観を持った世界中1,500名以上のハッカープールから、1プロジェクトあたり40~60人が検査員として参加。多様な視点の活用と成功報酬制による高いモチベーションで、他の脆弱性検査サービスでは検出されにくい脆弱性の検出可能性を向上
   
③迅速な脆弱性対応を可能にする速報性
検出された脆弱性の詳細な内容(検出箇所、再現方法、修正方針など)をリアルタイムに報告するカスタマーポータルを提供、検出された脆弱性への対応状況等のステータス管理やパッチ適用後の再検査依頼等の各種機能を併せて提供し、セキュリティライフサイクルの確立を支援

“Synack”サービスプラットフォーム

課題解決

クラウドソーシング・ペネトレーションテスト「Synack」は脆弱性検査に関する以下のような課題を解決します。

脆弱性検査:サイバー攻撃のリスクにつながる脆弱性を見つけ出す

重大な被害に繋がる問題がWebサービスにないかを知りたい

個人情報漏えいなどの特定の課題にフォーカスした検査をしたい

従来の脆弱性検査とは異なる別のアプローチで検査をしたい

サイバー攻撃者の視点で実際の攻撃のような検査をしてほしい

単発の検査ではなく年間の中で
継続して検査を実施したい

重大な被害に繋がる問題が
スマホアプリにないかを知りたい

脆弱性管理:見つかった問題点を管理・修正する

見つかった脆弱性の修正方法を
わかりやすく教えてほしい

脆弱性の対応が終わったら
すぐに再検査したい

どのように優先順位づけをして
脆弱性対応したらいいか知りたい

耐性の把握:サイバー攻撃の脅威への耐性を知る

自社のサービスが
どの程度安全かを知りたい

他社と比較して自社の対策状況が十分かどうかを知りたい

従来の脆弱性検査とSynackの比較

従来の脆弱性検査Synack
検査時間40-80時間250 – 350時間
検査人数1 – 2名平均約60名(Webアプリケーションテスト時)
検査料金従量制課金:労働時間 × 稼働人員
(検査成果・実稼働時間に関係なし)
固定料金:アプリケーション単位
(実働工数に関わらず固定料金)
24×365継続検査×
報告書
スキャナーの場合は脆弱性リストに依存する定型報告書

60 – 120名の多様な検査結果 +
PCI, OWASP等コンプライアンスを網羅する検査報告書(オプション)
結果報告タイミング検査終了後数日後顧客ポータルに検査期間中、逐次検査結果を報告
再現性100%
検査手法開示

細かい検査手法は開示しない場合が多い

顧客ポータルにスクリプト他全ての検査手法を開示
再検査
オプションの場合が多い

対策適用後に無償で再検査を提供
CVSSスコア脆弱性評価
診断会社による
攻撃耐性スコア×
大手EC, 大手金融機関等検査スコアとの対比が可能

活用例

クラウドソーシング・ペネトレーションテスト「Synack」は
以下のような脆弱性対策を実現します

重大な被害につながる問題がWebサービスにないかを知りたい

Synackでは重大な被害につながる問題に注力した検査を実施します

Synackでは重大な被害につながる脆弱性を発見したハッカーに報奨金を支払う「バグバウンティ方式」を活用しているため、 SRT(Synack Red Team)は攻撃者視点でインパクトの大きな脆弱性がありそうな箇所に注力して検査を行います。

一つのプロジェクトにおいて、40~60人のSRTメンバーがインパクトの大きな脆弱性がありそうな箇所に注力して検査を実施するため、他の脆弱性検査サービスでは検出しづらい脆弱性が検出される可能性が高くなります。

単発の検査だけではなく継続して検査を実施したい

年間を通して精鋭のエシカルハッカーによる検査を継続的に実施します

「Synack 365」サービスでは、マルチプラグインスキャナを用いた検査ツール「Hydra」によるツール検査および厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)による継続的な手動検査を24時間365日提供します。

一つのプロジェクトで検査を担当するSRT(Synack Red Team)のチームは約45日周期で交代を行い、常に新しい観点から検査を実施します。

Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attack Resistance Score)」を毎日提供します。 ARSは脆弱性の検出状況や検出された脆弱性の改修状況により常に変化します。

SRTによる手動検査を年間を通して24時間365日提供

検査結果から算出される攻撃耐性スコア「ARS」

攻撃者の視点でWebサービスに問題がないかを確認したい

厳しい審査を通過したエシカルハッカーのみが検査に参加します

Synack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)がサイバー攻撃者を模倣し、さまざまな攻撃ツールや最新の攻撃手法を駆使して検査を実施します。

SRTは多様なバックグラウンドを持ち、それぞれの知見に基づく方法で検査を実施します。

SRTによる疑似攻撃は全てSynack社が所有する検査ゲートウェイ「Launch Point」を通過することにより、制御・可視化されるため、本物の攻撃との区別が可能です。

厳しい審査を通過したエシカルハッカーのみが検査に参加

検査ゲートウェイ「Launch Point」による制御・可視化

お客様の情報漏洩につながる問題がないかを検査したい

各組織で抱えるお悩みや不安に沿った検査を実施します

検査前にお客様にヒアリングを行い、各組織で想定している脅威(情報漏えい、不正アクセスなど)がある場合は、その脅威につながる問題に注力した検査を実施します。

コンプライアンスチェックリストである「Missions」に基づく検査について、お客様のご要望に応じて検査項目を追加した「カスタムミッションリスト」に基づく検査を実施可能です。

※追加可能な検査項目については弊社までご相談ください。

想定される脅威の例

クラウドソーシングによる密度の濃い検査

高レベルの技術者を集めてクラウドソーシング・テストを実施したい

厳しい審査を通過したエシカルハッカー集団の「集合知」を活用します

スキル審査だけにとどまらず、面接や身元・身辺調査などのSynack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)のみが検査に参加します。

従来の脆弱性検査と比較して多くの人数・時間を費やして検査を行う、世界中のエシカルハッカーの「集合知」を活用したサービスです。

一つのプロジェクトにおいて数十人のエシカルハッカーが密度の濃い検査を実施するため、他の脆弱性検査サービスでは検出しにくい脆弱性が検出される可能性が高くなります。

従来の脆弱性検査だけでなく別のアプローチで検査をしたい

クラウドソーシング・セキュリティテスト「Synack」は新しい脆弱性対策です

脆弱性検査をクラウドソーシングするテスト方式であるクラウドソーシング・セキュリティテストは、群衆(=クラウド)の集合知を活用した新しい脆弱性検査の形態です。多くの参加者が参加するため、多様な閃きや経験に基づく観点を活用できるという特徴があります。

クラウドソーシング・セキュリティテストでは、検査を行うエシカルハッカーの募集のためにバグバウンティの仕組みを活用しています。脆弱性を見つけた技術者にのみ報奨金が支払われるため、脆弱性を見つけることに対するハッカーのモチベーションが高いことも特徴です。

検査で発見された脆弱性を管理する

見つかった脆弱性の影響などの詳細が知りたい

検査で検出した脆弱性の情報はポータル上にてリアルタイムで提供します

検査で検出した脆弱性の情報はお客様向けWebポータル上にて提供します。検出した脆弱性についてキャプチャや動画にて再現手順を詳細に解説します。

脆弱性の情報は、検出されたものからWebポータル上で随時報告されます。お客様は、検査終了を待たずに検出された全ての脆弱性の情報を確認いただくことが可能です。

Webポータル上の情報について不明な点がある場合は、レッドチーム・テクノロジーズのコンサルタントがサポートを行います。

検出した脆弱性の一覧をポータルに表示

見つかった脆弱性の修正方法をわかりやすく教えてほしい

検査で検出した脆弱性の修正方法をポータル上で解説します

検出された脆弱性は、お客様向けWebポータルにて再現方法とともに報告されます。

影響の大きな脆弱性については都度、レッドチーム・テクノロジーズより詳細レポート(日本語)を提供します。

Webポータル上の情報について不明な点がある場合は、ポータル上から脆弱性を発見したSRT(Synack Red Team)メンバーに直接質問が可能なほか、必要に応じてレッドチーム・テクノロジーズのコンサルタントがサポートを行います。

脆弱性の再現方法をポータルで説明

脆弱性の修正方法を解説

脆弱性の対応が終わったらすぐに再検査したい

ポータル上からボタン一つで再検査依頼が可能、追加費用も不要です

検出された脆弱性に対する再検査は契約期間中に随時実施可能です。ポータル上のボタンから再検査依頼が可能です。

サービス費用に再検査費用も含まれているため、再検査を実施するための追加費用は不要です。再検査期間内であれば、修正した脆弱性の再検査は何度でも実施可能です。

再検査のリクエストは、脆弱性を発見したSRT(Synack Red Team)メンバーに直接送信されます。リクエストを受け取ったSRTメンバーは再検査を実施して脆弱性が修正されたかどうかを確認します。

再検査依頼はポータル上のボタンから可能

脆弱性対応にどのように優先順位づけしたらいいか知りたい

検出した脆弱性の評価や優先順位付けをSynackにて実施します

Synack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team) が検出した脆弱性はCVSS(共通脆弱性評価システム)を用いて評価した影響度と合わせて報告されます。

SRTによる検査結果は、Synack社の運用チームである「Mission Ops.」にて検証、再現、優先順位付けがされ、無効な検査結果や検査結果の重複は排除された上で顧客に報告されます。

各脆弱性の対応ステータスの管理がお客様向けWebポータル上で可能です。

Synackによる影響度の評価

自社のサービスへの攻撃耐性を知る

他社と比較して自社のサービスが安全かを知りたい

Synack社独自の計算方法で算出した攻撃耐性スコアで耐性を把握

Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attach Resistance Score)」をお客様向けWebポータルにて提供します。

ARSは検出された脆弱性の検出までの時間や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれ、それらから算出したスコアはSynack社で検査を実施した他顧客システムとの比較が可能です。

Synack365サービスで提供されるARSスコア年間を通して毎日更新されます。よって、脆弱性の検出状況や検出された脆弱性の改修状況により常に変化します。

検査結果から算出される攻撃耐性スコア「ARS」

攻撃を受けたときにどの程度の時間を耐えられるかを知りたい

Synackでは「脆弱性を発見するのに要した時間」を報告します

検出した脆弱性の報告においては、脆弱性を発見するのに要した時間も報告されます。

Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attach Resistance Score)」をお客様向けWebポータルにて提供します。

ARSは検出された脆弱性の検出までの労力や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれ、それらから算出したスコアはSynack社で検査を実施した他顧客システムとの比較が可能です。

検査結果から算出される攻撃耐性スコア「ARS」

Synack Red Teamの採用プロセス

スキルと忠誠心において世界最高水準のホワイトハッカー=Synack Red Team
ハッカーとは「普通のコンピュータ利用者なら知らずに済むようなシステムやネットワークの内部の働きに通じ、その上を行くことを喜びとする人」

Synack Red Teamのメンバーはそれぞれが厳正なスキル審査に担保された卓越したスキルを有するだけではなく、Synack社による身辺調査をクリアし、厳格な法的拘束への同意が求められます。

検査プロジェクトの流れ(ご発注前の事前準備)

納品報告書イメージ

報告書内容例

1 診断実施概要
 1.1 サービス構成
 1.2 SRTについて
 1.3 プロジェクト推進体制
 1.4 プロジェクトの流れ
 1.5 対象および日程
2 診断結果サマリー
3 診断結果詳細
 リスクレベル、概要、影響、対策、再現手順
4 ARS 攻撃耐性スコア
Appendix
 ポータル画面説明、脆弱性の再検査依頼手順

Q&A

Synackのサービスについて

クラウドソーシング・ペネトレーションテストとは何ですか?
脆弱性診断を不特定多数のエシカルハッカーにクラウドソーシングする
新しいセキュリティ対策のことです。
バグバウンティとは何ですか?
Webサービスやアプリケーションを提供する企業が、そのサービスの脆弱性に関する調査をエシカルハッカーを募集して実施し、脆弱性を発見したエシカルハッカーにはその対価として報奨金を支払う制度のことです。
どんなシステムを検査してもらえますか?
Webアプリケーションに加え、サーバなどのホストやモバイルアプリケーションの検査も対象によっては実施可能です。
Synackのサービスの種類を教えてください。
単発の検査を行うサービスと、年間契約で継続して検査を行うサービスがあります。
■単発の検査
Discover:エシカルハッカー集団「SRT」による脆弱性検査を実施します。
Certify:エシカルハッカー集団「SRT」による脆弱性検査に加えてコンプライアンスチェックに対応します。
■年間契約での継続検査
Synack365:エシカルハッカー集団「SRT」による脆弱性検査を24時間365日実施します。
日本語でサービスを受けることが出来ますか?
Synackの顧客ポータルサイトは英語のみの提供となります。
Synack社およびSRTとのコミュニケーションは弊社が代行して日本語で行うほか、検査終了後には日本語レポートを提供いたします。
報告書にについて質問がある場合、サポートしてくれますか?
報告書の内容をより詳しく理解したいただくために、報告会を実施しております。
(Discoverはオプション)報告会以外でも質問をお受けします。
Synackの日本における実績を教えてください。
金融、ITサービス、サービス業界など数多くのお客様にご利用頂いております。

Synackの検査内容について

何名の方が検査を行いますか?
1,500名以上の熟練したSRTが検査を行います。
検査の内容によって異なりますが、1つの検査につき、1,500名から40~60名が選抜され検査を行います。
検査はオンサイトで行われるのですか?
検査はすべてネットワークを経由して実施します。
診断を行っている最中は、システム負荷がかかるのでしょうか?
検査中、SRTが擬似的な攻撃を行いますが、この際に診断対象へのアクセスが一時的に増えるため、システム負荷が上がる可能性があります。
顧客ポータルでは何が確認できますか?
検査期間中の検査状況や発見された脆弱性の情報を確認することが出来ます。
また、顧客ポータルから脆弱性の修正状況の変更や再検査の依頼を行うことも出来ます。
検査を実施している最中は、サービスを止めなくてはなりませんか?
サービスを止める必要はありません。
何名のSRTが検査を実施したか確認することは出来ますか?
顧客ポータルから確認することが出来ます。

Synack固有の表現について

Hydraとは何ですか?
Hydraとは脆弱性検査に使用するAIを搭載した独自のスキャナのことです。
SRTとは何ですか?
スキルチェックや身元確認など合格率10%未満の厳しい審査を通過したエシカルハッカーのことです。
ARSとは何ですか?
独自の計算方法で算出した攻撃耐性スコア「ARS(Attack Resistance Score)」のことです。