セキュリティ診断
セキュリティ診断内製化支援サービス
お客様によるセキュリティ診断の "内製化" を当社がバックアップ

IoT化の進展などにより、これまで対策を講じてこなかった範囲までサイバー攻撃の対象とする必要があったり、企業においてITを活用した新たなサービスの開発が加速したりするなか、従前よりセキュリティ診断を広範囲かつタイムリーに行うことが求められるようになりました。
その対策として、診断ツールを導入したいけどどのような基準で導入したらよいかわからないケースや、診断ツールを自社で導入し運用しているものの、専門的知識がなく診断結果をどう生かしていいかわからない、といった内製化の導入・運用が大きな課題となっているのが実情です。
ラックは、様々な分野の業種に対し、大手企業を中心に10年以上にわたり、セキュリティ診断ツールのサポートと、総合的セキュリティ診断サービスの豊富なサポート(実績:約8,300団体※)を行っています。この蓄積されたノウハウを生かし、お客様のセキュリティ診断の内製化を多方面から当社がバックアップし、運用の定着化をサポートします。
内製化支援サービスは、Webアプリケーション診断やプラットフォーム診断(ネットワーク診断)の両方に対応しています。
※ 2018年4月時点
セキュリティ診断内製化支援サービスの内容
お客様によるセキュリティ診断の内製化を支援します。お客様の環境や目的に沿った最適なセキュリティ診断ツールをご提案するとともに、セキュリティ診断結果を基に、脆弱性、分析結果についての専門的なご相談もお受けいたします。
診断ツール導入後の製品サポートはもちろん、専門知識と経験をもつ担当者が診断計画の策定や業務の推進体制構築など、お客様の業務効率化に向けてセキュリティ診断の内製化を支援いたします。
プラットフォーム診断内製化サービス
Webアプリケーション診断内製化サービス
「プラットフォーム診断」と「Webアプリケーション診断」の内製化を一緒に行うことも可能です。
特徴
トータルコストの削減
自社資産すべてを外部に委託して診断を実施するとコストが膨大になりがちです。内製化の仕組みを導入し、セキュリティ診断運用の一部を"自動化"できるようになることで、トータルコストを削減できます。
また、いつでも診断できるため、単体テストなど開発工程の早いフェーズで診断することで、高いセキュリティ品質を確保した状態で開発することができます。これにより、リリース前判定のみのチェックに比べ、手戻りを減らすことによるコスト削減を実現します。
効果的でタイムリーな診断が可能
サイバー攻撃の巧妙化によって、よりセキュアな開発環境が求められ、脆弱性の状況をすぐに把握する必要に迫られることがあります。
診断ツールの導入により好きなタイミングで診断できるため、危険度の高い脆弱性が発表された時や短期のWebサイト開発における公開前判定など、迅速な対応が求められるケースに効果的です。
また、定期的な診断も可能であり、自社のスケジュールに沿った診断の実施を行うことができます。いつでも自社の都合にあわせたセキュリティ診断を組み込むことができます。
セキュリティレベルの向上
内製化の仕組みを導入することで、標準化したポリシーに沿って運用ができるため、自社組織内のセキュリティレベルの向上につながります。
自社運用で解決できる課題の例
- 開発会社にセキュリティ診断を一任していて、自社でチェックする知識や仕組みがない。
- 開発ガイドラインはあるものの評価するノウハウと仕組みがない。ドキュメントレビューで済ませている。
- 各事業部やプロジェクトで使っている診断ツールが統一されていないためセキュリティ管理が困難。属人的な運用をしている。
内製化を進めることで、検出された脆弱性に対して「どのような対策を取るべきか」という知識やノウハウを蓄積することができます。お客様の組織や目的に適したセキュリティ対策の知識やノウハウを開発ガイドラインや自社セキュリティ基準へ反映することで、今後のリスク再発を予防できます。
内製化セキュリティ診断ツール
診断ツール名 | 環境 / 用途 | 特徴 |
---|---|---|
Rapid7 「Insight VM」 |
プラットフォーム診断用 (オンプレミス型) |
|
Qualys 「QualysGuard VM」 |
プラットフォーム診断用 (クラウド型) |
|
ユービーセキュア 「Vulnerability Explorer(Vex)」 |
Webアプリケーション診断用 |
|