株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティ診断

セキュリティ診断内製化支援サービス

お客様によるセキュリティ診断の "内製化" を当社がバックアップ

セキュリティ診断内製化支援サービス

IoT化の進展などにより、これまで対策を講じてこなかった範囲までサイバー攻撃の対象とする必要があったり、企業においてITを活用した新たなサービスの開発が加速したりするなか、従前よりセキュリティ診断を広範囲かつタイムリーに行うことが求められるようになりました。

その対策として、診断ツールを導入したいけどどのような基準で導入したらよいかわからないケースや、診断ツールを自社で導入し運用しているものの、専門的知識がなく診断結果をどう生かしていいかわからない、といった内製化の導入・運用が大きな課題となっているのが実情です。

ラックは、様々な分野の業種に対し、大手企業を中心に10年以上にわたり、セキュリティ診断ツールのサポートと、総合的セキュリティ診断サービスの豊富なサポート(実績:約8,300団体)を行っています。この蓄積されたノウハウを生かし、お客様のセキュリティ診断の内製化を多方面から当社がバックアップし、運用の定着化をサポートします。

内製化支援サービスは、Webアプリケーション診断やプラットフォーム診断(ネットワーク診断)の両方に対応しています。

※ 2018年4月時点

セキュリティ診断内製化支援サービスの内容

お客様によるセキュリティ診断の内製化を支援します。お客様の環境や目的に沿った最適なセキュリティ診断ツールをご提案するとともに、セキュリティ診断結果を基に、脆弱性、分析結果についての専門的なご相談もお受けいたします。

診断ツール導入後の製品サポートはもちろん、専門知識と経験をもつ担当者が診断計画の策定や業務の推進体制構築など、お客様の業務効率化に向けてセキュリティ診断の内製化を支援いたします。

プラットフォーム診断内製化サービス

プラットフォーム診断内製化サービスのイメージ

プラットフォーム診断内製化サービスのイメージ

Webアプリケーション診断内製化サービス

Webアプリケーション診断内製化サービスのイメージ

Webアプリケーション診断内製化サービスのイメージ

「プラットフォーム診断」と「Webアプリケーション診断」の内製化を一緒に行うことも可能です。

特徴

トータルコストの削減

自社資産すべてを外部に委託して診断を実施するとコストが膨大になりがちです。内製化の仕組みを導入し、セキュリティ診断運用の一部を"自動化"できるようになることで、トータルコストを削減できます。

また、いつでも診断できるため、単体テストなど開発工程の早いフェーズで診断することで、高いセキュリティ品質を確保した状態で開発することができます。これにより、リリース前判定のみのチェックに比べ、手戻りを減らすことによるコスト削減を実現します。

効果的でタイムリーな診断が可能

サイバー攻撃の巧妙化によって、よりセキュアな開発環境が求められ、脆弱性の状況をすぐに把握する必要に迫られることがあります。

診断ツールの導入により好きなタイミングで診断できるため、危険度の高い脆弱性が発表された時や短期のWebサイト開発における公開前判定など、迅速な対応が求められるケースに効果的です。

また、定期的な診断も可能であり、自社のスケジュールに沿った診断の実施を行うことができます。いつでも自社の都合にあわせたセキュリティ診断を組み込むことができます。

セキュリティレベルの向上

内製化の仕組みを導入することで、標準化したポリシーに沿って運用ができるため、自社組織内のセキュリティレベルの向上につながります。

自社運用で解決できる課題の例

  • 開発会社にセキュリティ診断を一任していて、自社でチェックする知識や仕組みがない。
  • 開発ガイドラインはあるものの評価するノウハウと仕組みがない。ドキュメントレビューで済ませている。
  • 各事業部やプロジェクトで使っている診断ツールが統一されていないためセキュリティ管理が困難。属人的な運用をしている。

内製化を進めることで、検出された脆弱性に対して「どのような対策を取るべきか」という知識やノウハウを蓄積することができます。お客様の組織や目的に適したセキュリティ対策の知識やノウハウを開発ガイドラインや自社セキュリティ基準へ反映することで、今後のリスク再発を予防できます。

内製化セキュリティ診断ツール

診断ツール名 環境 / 用途 特徴
Rapid7
「Insight VM」
プラットフォーム診断用
(オンプレミス型)
  • 検出された脆弱性やホストでは、公表されている脅威情報・攻撃コードの有無をもとにリアルリスクスコア0~1000点で数値化されるため、対策の優先度を細かく設定できます。
  • ホスト資産の脆弱性や脅威状況を可視化できるダッシュボード機能は、リスクのあるアセットを迅速で柔軟に検索でき、状況の把握を効率よく行えます。
Qualys
「QualysGuard VM」
プラットフォーム診断用
(クラウド型)
  • SaaS型サービスとなるため、自社に診断用環境の構築が不要(ただし、イントラネットの場合はアプライアンス設置が必要)。
  • 検出した脆弱性を「Confirmed(存在を確認された脆弱性)」と「Potential(潜在的な脆弱性)」種類に分けられるため、優先すべき脆弱性がわかりやすくなります。
  • 脆弱性の管理機能が充実しています。診断ごとに、脆弱性のステータスが自動で更新されるため、容易に脆弱性が管理できます。
ユービーセキュア
「Vulnerability Explorer(Vex)」
Webアプリケーション診断用
  • 脆弱性の検出精度が高い純国産のWebアプリケーション診断ツール。
  • 診断開始URLからの自動クローリング、ブラウザ操作による入力、各フォームのパラメータ個別設定ができるなど、柔軟な診断設定が可能です。
  • ツール上で診断対象の画面や相違率(ブラウザ操作とツール結果とのレスポンス差分)やエラー内容を確認できるため、エラーハンドリングが容易です。
  • 脆弱性結果レポート出力に加え、画面遷移図(Excel)や、「IPA 安全なWebサイトの作り方」「OWASP TOP10」「PCI DSS」の準拠状況をマッピングしたレポート出力が可能です。
お問い合わせ

セキュリティ診断内製化支援サービス
に関するお問い合わせ

いま注目されているサービス

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

  • splunk_top.png

    セキュリティ監視センターJSOC®が「Splunk® Enterprise」を使い多様なログを収集・分析する「SIEM監視サービス」を提供

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top