このようなお悩みや不安はありませんか?
- 攻撃者の視点に立ったセキュリティ対策を実施したい
- バグバウンティを活用したい
- 有効なゼロデイ対策を探している
AGESTのクラウドソースセキュリティテストプラットフォーム(Synack)で解決できます!
クラウドソースセキュリティテストプラットフォーム(Synack)とは?
- 世界最高峰のエシカルハッカーチームと独自のAIスキャナーにより、高品質のセキュリティテストを提供します。
- 組織やグループ企業全体のセキュリティテストを一元管理し、コストやナレッジの可視化・最適化が実現します。
- 年間を通した継続的なテストにより、深刻なゼロデイにも迅速な対応が可能となります。
検査対象
●インフラストラクチャー
対象インフラの例:DNSサーバー、HTTPサーバー、アプリケーションサーバー、Proxyサーバー、DBサーバー、ファイルサーバー、IMAP/SMTPサーバー、LDAPサーバー、認証サーバー、VPNサーバー、VMwareサーバー、ネットワーク機器、セキュリティ機器、他
●Webアプリケーション
●モバイルアプリケーション
検査項目の例
●ホスト/ネットワーク層
DNSゾーン転送、EOLのオペレーティングシステムやサービス、情報漏えい、権限昇格の欠陥、リモートコード実行
●アプリケーション層
認証・認可スキーマバイパス、コードインジェクション、コマンドインジェクション、ディレクトリトラバーサル/ファイルインクルード、IMAP/SMTPインジェクション、サブドメインテイクオーバー
●既知の脆弱性
一般に知られているホスト、ネットワーク、アプリケーションの脆弱性
●保護機能
ホスト、ネットワーク、アプリケーションレベルの保護のレビュー
テストメニュー
Open Vulnerability Discovery (OVD)
世界最高峰のエシカルハッカーチームによる手動診断
合格率10%の狭き門を通過したサイバーセキュリティーのエリート集団である「Synack Red Team (SRT)」による診断を実施します。1つのプロジェクト当たり約60~80名が参加し、集団力とバグ・バウンティプログラム(脆弱性発見報奨金制度)※による競争力によって、組織に内在する悪用可能な脆弱性を洗い出します。継続的な監視体制を組むことでゼロデイにも迅速な対応が可能です。
Manual Test
チェックリストに基づいた手動診断
多様なチェック項目から必要な要素を選択し、リサーチャーによるテストを実施します。Azureセキュリティベンチマーク、NISTやOWASP提唱のガイドラインなどに準拠するための調査のほか、ヘッドレスAPIのペンテスト、さらに個別のCVEに対して自社に影響があるかなど、多彩な項目が用意されています。
Scan
AIスキャナーによる既知の脆弱性検出
Synack社独自開発のAI搭載型マルチ・プラグインスキャナー「SmartScan」により既知の脆弱性を検出します。SmartScanで発見された脆弱性は、深刻度別にクライアントポータル上のダッシュボードで可視化されます。
※バグ・バウンティプログラム(脆弱性発見報奨金制度)とは:
脆弱性を発見したホワイトハッカーに報奨金を支払う制度です。CVSS(共通脆弱性評価システム)を基準に、脆弱性の深刻度が高まるほど報奨金の金額も高くなります。バグ・バウンティを自社で運用しようとすると「報奨金が青天井になる」「参加者がエシカルであるかを判別できない」などのリスクが伴いますが、Synackではセキュリティテストのプラットフォームを定額で提供するため、発見された脆弱性の数や深刻度によって金額が変動することはありません。
Synackの特徴
- 特別なシステムの導入は不要
- トラフィックやログ管理、テストの一時停止などは全てブラウザ上のクライアントポータルから確認・実行が可能
- 実際のハッカーによる”超実戦的”な攻撃者目線の診断を提供。異なる専門領域を持つエシカルハッカーがプロジェクトに参加
診断の流れ
Synackの検査はエージェントレスです。特別なインプリは必要ありません。エシカルハッカーチーム「Synack Red Team(SRT)」やAI搭載型マルチ・プラグインスキャナー「SmartScan」のアクセスは、全てセキュアゲートウェイ「Launch Point」を介して行われます。Launch Pointでは全てのトラフィックが記録され、またその情報はいつでもクライアントポータル上から確認することができます。テストの一時停止もクライアントポータルから簡単に実行可能です。
Synackの有用性1:組織の横断的管理
企業規模が大きくなると事業部単位やグループ企業単位など、組織毎にセキュリティテストの実施頻度や内容がバラバラに取り組まれるケースが少なくありません。全体の可視化ができず、結果的にコストや効果が最適化されないという弊害が起こります。Synackは組織全体のセキュリティテストをクライアントポータルで一元管理できるほか、テストの実施状況をリアルタイムで把握することができます。組織横断的に脆弱性を管理することで、ナレッジの共有やコストの最適化、そしてセキュリティテスト実施効果の最大化を実現します。
Synackの有用性2:継続監視
攻撃者達は日々報告される脆弱性やそれに関連した流出情報などを活用し、驚くほどの短期間で組織に攻撃を仕掛けます。深刻なゼロデイの発生は予測不可能であり、年数回のスポット診断だけでは、それらの脅威に対し無防備となってしまいます。ゼロデイは対応負荷が膨大にも関わらず、早急な調査や対応を行わなければ重大なインシデントに繋がり危険です。365日の継続的なモニタリングをアウトソースすることによって、世界最高峰の技術者集団が速やかに脆弱性を洗い出し、修正方針をお客様に提示します。
Synackの有用性3:世界最高峰のエシカルハッカーチーム「SRT」
Synack Red Team(SRT)はSynack社が独自に契約するエシカルハッカーの集団です。数か月におよぶ厳しい技能テストや身辺調査、そして機密保持契約によって、選び抜かれたハッカーだけが所属することを許されます。採用率10%の狭き門であるSRTは、技術力はもちろん論理感にも優れた人物である証明となり、所属することそのものが世界中のハッカーにとってステータスとなっています。世界80ヵ国以上から約1,500名が参加する、世界トップクラスのサイバーセキュリティエリートチームです。
Synack(シナック)は、米国Synack社と契約したセキュリティ研究者・技術者などのエシカル(良識的な)ハッカーが、企業が所有するインフラシステム/アプリケーションに対し「サイバー攻撃者の視点で深刻な脆弱性の検出を試みるセキュリティテスト」と「検出した脆弱性の管理機能を提供するクライアントポータル」を統合したSaaSプラットフォームです。
Synackは、2016年に実施された米国国防総省のHPを対象としたバグ・バウンティプログラム(脆弱性発見報奨金制度)”Hack the Pentagon”に参加し、その後も継続して機密システムの指定検査ベンダーとして契約締結するなど、高い安全性と優位性を認められています。
業種・規模問わず実績16,000社以上、
品質保証のことなら、お気軽にご相談ください
品質保証に関する基本情報や
各ソリューションの資料を無料公開しています
貴社のお悩みに対して
品質保証のスペシャリストが対応します
AGESTが選ばれる理由
1世界最高峰のエシカルハッカーチームが、高品質のセキュリティテストを提供し、未知の脅威や想定外の事象にも対抗可能
2組織やグループ企業全体のテストを一元管理することで、コストの最適化と効果の最大化を実現
3コストが青天井になる恐れのあるバグバウンティを、定額で安心して利用が可能
関連サービス
サイバーセキュリティ診断(脆弱性診断)
システムの脆弱性を可視化しリスクに備える脅威/シナリオベース・ペネトレーションテスト
実施シナリオにもとづく侵入調査から対策提案までを提供緊急時インシデント対応支援
セキュリティインシデント発生時の緊急対応支援サービス