株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

クラウドソーシング・セキュリティテスト
「Synack(シナック)」

Inspection & Consulting

世界最高レベルのエシカルハッカー集団「Synack Red Team(SRT)」によるクラウドソーシング・セキュリティテスト

高頻度で行われるシステムやプログラムの更新、次々と現れる新たな攻撃手法に対応し続けることは並大抵の努力では困難です。Synackでは、高い技術力・豊富な知見を持つエシカルハッカーチームが、攻撃者目線で疑似攻撃を行うため、対象システムの「リアルな」セキュリティ耐性を可視化することができます。

サービスの強み

「ハッカー視点」を「セキュリティ対策」に取り込む

Synackでは攻撃者の本気の攻撃を前提とした対策が可能
Synackでは、従来の脆弱性診断と違い、検査項目をあえて定めておりません

1つの検査対象につき数十名、厳正な審査を突破したエシカルハッカーが、各々異なる得意分野・技術・知見を活かし、多角的な視点で対象を検査します。バグバウンティと呼ばれる制度を用いることで、検査員のモチベーションを常に高水準に保っています。そのため、Synackは従来の脆弱性診断よりも多く、より重大な脆弱性を見つける可能性の高いクラウドソーシング・セキュリティテストなのです。

『エシカルハッカー』?

日本では、一般的に企業や公共機関のセキュリティ対策をサポートする、高度な知識と技術を持ったセキュリティエキスパートを「ホワイトハッカー」と表現することが多いですが、Synackでは「エシカルハッカー」という言葉で表現しています。

迅速な脆弱性対応を定常的に実施することで、
セキュリティの堅牢性を維持向上する

  1. 24時間365日にわたり人が脆弱性を管理する安心感
    Synack365では、24時間365日を通じて人手による定常的な検査を実施するため、定期検査の計画が不要です。エシカルハッカーと品質管理チームの連携が安心感をさらに高めます。
  2. 発見から修正までスムーズで
    効率的な脆弱性管理
    バグバウンティ(報奨金制度)を活用し、多くの人員が多様な観点から脆弱性を効率良く発見します。再検査も可能なため修正時間は短く、期限の迫った事案にも対応します。
  3. ドメイン単位の定額制が
    大規模サイトにコスト効果を提供
    ドメイン単位の定額制のため、大規模サイトほど低コスト運用が可能に。コンサルティング、サイバー119など他サービスとも連携し、トータルなセキュリティ管理を提案します。

導入のメリット

定常的な脆弱性管理、定量的な耐性把握

定常的な脆弱性管理、定量的な耐性把握

年間継続検査(Synack365)では、24時間365日で人手による検査を継続実施するため、定期的な検査を都度スケジュールする必要なく、定常的な脆弱性対策としてご活用頂けます。またSynack独自のセキュリティ耐性指標(ARS)により客観的な対策効果を継続的にご確認頂けます。

安心のチーム体制

安心のプロジェクト管理体制

高い技術を持ったエシカルハッカーは従来の脆弱性診断よりも深刻な脆弱性を発見する可能性が高いです。しかし、各ハッカーのスキル水準が異なる場合があるため、Synackでは品質管理チームが再現確認を行うことで、報告水準の均一化を実現しています。また、Synackでは専用ゲートウェイを用いて検査するため、本物の攻撃との識別が可能となります。

効率的な修正作業

効率的な修正作業

24時間体制で検査、再現確認を行い、リアルタイムに脆弱性情報を専用ポータルに反映します。また、再検査が随時、何度でも可能なため修正リードタイムの短縮が叶います。深刻な脆弱性が発見された場合や、期限の差し迫ったリリース前の検査としてもご活用頂けます。

効率的に深刻な脆弱性を発見

効率的に深刻な脆弱性を発見

従来の脆弱性診断は診断項目などを基にした網羅性を重視した診断ですが、バグバウンティの仕組み(報奨金制度)を活用するSynackではより多くの人員を投入し多様な観点、実戦的な手法を試行するため、深刻な脆弱性を効率よく発見する可能性を期待できます。

大規模サイトでのコストメリット

大規模サイトでのコストメリット

検査対象範囲はドメイン単位(アプリケーションのアーキテクチャ、提供機能によって変動)の定額制であるため大規模なサイトであるほど、コストを抑えた検査が可能です。

お客様のニーズへの最適化

お客様のニーズへの最適化

お客様の目的、状況に合わせ、他診断サービス、コンサルティング、PCD-DSS対応、サイバー119連携、など、当社取り扱いサービスをシームレスにご提案させて頂きます。

サービスメニュー

Synack 365

365日継続のクラウドソーシング・セキュリティテスト

365日継続のクラウドソーシング・セキュリティテスト

※ Missions Campaign
Owasp Testing Guideのチェック項目に基づいた検査

Certify

コンプライアンス対応のクラウドソーシング・セキュリティテスト

コンプライアンス対応のクラウドソーシング・セキュリティテスト

Discover

クラウドソーシング・セキュリティテスト

クラウドソーシング・セキュリティテスト

ラックのアドバイザリーサポート

Synack/レッドチーム・テクノロジーズから報告された脆弱性情報に対し、ラックの脆弱性診断の知見に基づくアドバイスを実施。

ラックの脆弱性診断の知見に基づくアドバイスを実施

Synack Client Portalサンプル画面

ダッシュボード

ダッシュボード
  • 検査中に発見した脆弱性をリアルタイムに反映
  • 脆弱性の推移、検査後の修正パッチ適用状況を可視化
  • 脆弱性マネジメントツールとしての活用が可能

脆弱性の詳細画面

脆弱性の詳細画面
  • 再現性100%の脆弱性手順の報告・推奨対策を提示
  • 再検査の依頼~クローズまでお客様操作にて実施可能
  • お客様担当者同士やSRTとのチャット機能搭載

ARS(攻撃耐性スコア)

ARS(攻撃耐性スコア)
  • 貴社アプリケーション固有の攻撃耐性スコアを測定可能
  • 業界平均スコアと比較可能
  • サイトセキュリティ強度を客観的に掌握可能

Missions(コンプライアンス対応目的検査)

Missions(コンプライアンス対応目的検査)
  • OWASP、PCI-DSSを基にしたチェックリストと照合
  • 証跡を含めたレポートが生成でき、監査用途として利用が可能
  • 業界基準に則って、自社のセキュリティ課題・運用課題を掌握

Coverage(各対象の検査内訳)

Coverage(各対象の検査内訳)
  • 検査対象のサーバ・URLパス毎にアクセス数が確認可能
  • 検査対象のサーバ・URLパス毎に発見された脆弱性数を確認可能
  • 脆弱性の種類別の検査アクセス数が確認可能

検査報告書のサンプル

検査サマリー
検査サマリー
対応状況
対応状況
検査結果詳細
検査結果詳細
悪用可能な脆弱性の再現手順等を日本語で解説
悪用可能な脆弱性の再現手順等を
日本語で解説

参考資料

各種セキュリティ診断やペネトレーションテストの総合マップ(849KB)
様々な種類のセキュリティ診断を一覧にまとめています。また、セキュリティ診断とペネトレーション診断の違いにも触れています。

導入事例

株式会社ミクシィ様(レッドチーム・テクノロジーズ)(871KB)

価格

詳細は個別にお見積もりいたします。お気軽にお問い合わせください。

「Synack」に関するお問い合わせ