株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

セキュリティ診断

ペネトレーションテストサービス Synack

​年々高度になっていくサイバー攻撃の手口。万全に備えたつもりでも想定外の弱点をついた攻撃で被害を受けてしまうことがあります。ラックでは、実際のサイバー攻撃と同じレベルの攻撃が再現可能なSynack社のペネトレーションテストサービスの提供を行っています。

Synackとは、世界最高レベルのホワイトハッカー集団の「Synack Red Team(SRT)」によるペネトレーションテストを核としたクラウドソーシングセキュリティサービスです。これは、脆弱性を見つける可能性がより高くなった高度なペネトレーションテスト及びその脆弱性やリスクを可視化して効率的に管理する仕組みを融合させたものです。

Synackロゴ

脆弱性検査サービスの課題

検査スキルの
ミスマッチ
検査状況が
見える化できない
ワンタイム検査で
継続性がない
検査だけで
運用管理ができない
検査スキルのミスマッチ 検査状況が見える化できない
ワンタイム検査で継続性がない 検査だけで運用管理ができない

Synackの特長

スキルが高く
多様性に富んだ多数の検査員
検査状況と脆弱性情報をリアルタイムに提供 継続的な検査と変化への柔軟な対応 脆弱性のライフタイム管理とサポート
スキルが高く多様性に富んだ多数の検査員 検査状況と脆弱性情報をリアルタイムに提供
継続的な検査と変化への柔軟な対応 脆弱性のライフタイム管理とサポート

Synackの強み

人手による検査

人手による検査は
スケールしない

少人数の検査員では継続的な検査は提供できず、個人のスキル、得意分野、適合性に偏りがでやすい

自動検査ツールによる検査

自動検査ツールによる検査は
柔軟性がない

自動検査ツールではハッカーの柔軟性に対抗できない

Synackによる答え

自動検査ツールによる大規模検査と、高度なスキルと多様な経験を有する検査員による柔軟性のある検査を同時に提供

Synackの仕組み

Synackの仕組み

Synack Red Team(SRT)

世界最高級のホワイトハッカー
(Ethical Hacker)チーム

  • 世界80ヶ国超から参加する1200名を超える多様なスキルセットを持ったホワイトハッカー集団
  • Webアプリ、モバイルアプリ、IoTデバイス、サーバ、ネットワーク、リバースエンジニアリングなどの得意分野を持った多様性のあるメンバー
  • スキルと身元の信頼性に関する厳しい審査を通過したメンバーにより構成される(採用率 < 10%)
  • 顧客の検査対象に応じて、得意分野が適合する適任者を選定し検査チームを編成(50~100人)
  • 脆弱性発見者にのみ報奨金が発生する仕組みにより、迅速で網羅的な検査を促進

Hydra

Synack Red Team(SRT)の
強力な武器=独自スキャナー

  • 顧客システムのネットワークやサーバを調査するツール
  • ハッカーコミュニティで公開された最新ツールや手法を、SRTで共有
  • 調査対象に対して既知の脆弱性検査を自動実行(SRTは直接スキャン・マッピング・検出作業は行わない)
  • 初動で検出した脆弱性を報告
  • スキャン結果はSRTに共有され、SRTはこの情報を元に更に深い脆弱性検査を実施





LaunchPoint

脆弱性検査作業を記録・監視する
ゲートウェイ

  • SRTによる脆弱性検査は全てLaunchPoint経由で実施
  • 検査の作業は全て記録され、Mission Opsチームにて監視や脆弱性の確認、再現で利用 


Mission Ops

顧客のプロジェクトを管理する
Synack社チーム

  • 顧客と検査対象を調整
  • 顧客の検査対象に合わせてSRTを編成・管理
  • SRTが発見した脆弱性の確認とレポート作成支援
  • 顧客の脆弱性修正を支援し、修正後の再検査を実施

Client Portal

顧客が検査状況やレポートをリアルタイムに確認できるポータル

  • 検査状況や、発見された脆弱性情報(深刻度、概要、影響度、詳細な脆弱性の説明、修正方法等)をリアルタイムに表示
  • 必要に応じて検査作業を中断・再開することも可能
  • 修正した脆弱性に対する再検査の依頼や再検査結果も確認可能

Synack Red Teamの選考過程

スキルと身元の信頼性に関する合格率10%以下の厳しい審査を通過した検査員。
採用後も検査状況は継続的に監視・審査される。

合格率10%以下の厳しい審査を通過した検査員 合格率10%以下の厳しい審査を通過した検査員

サービスラインナップ

4種類のサービスをご用意しております。

基本的なサービス内容

  1. Hydraによる網羅的な脆弱性診断
  2. Client Portalの提供(リアルタイム情報:英語)
  3. SRTによる脆弱性の検証
  4. Attacker Resistance Score(ARS:攻撃耐性スコア*)の算出

    * 検査結果と独自のアルゴリズムで、お客様環境の攻撃耐性をスコア化する特許技術
    ** SmartScanのみの提供の場合は含まれない

脆弱性検査
自動検出ツールと検査員の手動検査
  • Hydraスキャン
  • SRTによる検査
報告会
現状の確認と対策検討
  • 報告会の実施
アフターフォロー 脆弱性修復効果の確認
  • SRTによる再検査

Synack 365

365日継続のクラウドソースペネトレーションテスト

  • SRTによる検査:365日継続
  • SRTによるパッチ再検証
  • Missionリストに基づくコンプライアンス適合評価:年2回
    (対象:OWASP Top 10, PCI-DSS, NIST SP 800-53)
  • ARSの提供
    (期間中毎週、数値の算出)
  • 報告会(分析レポート:日本語)を年2回実施

Certify

コンプライアンス対応のクラウドソースペネトレーションテスト

  • SRTによる検査:7日間
  • SRTによるパッチ再検証
  • Missionリストに基づくコンプライアンス適合評価:年1回
    (対象:OWASP Top 10, PCI-DSS, NIST SP 800-53)
  • ARSの提供(検査終了後に1回)
  • 報告会(分析レポート:日本語)を年1回実施
  • SmartScanの提供 *オプション

Discover

クラウドソースペネトレーションテスト

  • SRTによる検査:7日間
  • SRTによるパッチ再検証
  • ARSの提供(検査終了後に1回)
  • 報告会(分析レポート:日本語)を年1回実施

SmartScan

ノイズレスなインテリジェントスキャン

  • Hydraによる脆弱性検出
  • SRTによるトリアージ



Synack Client Portalサンプル画面

ダッシュボード

ダッシュボード

  • 検査中に発見した脆弱性をリアルタイムに反映
  • 脆弱性の推移、検査後の修正パッチ適用状況を可視化
  • 脆弱性マネジメントツールとしての活用が可能
脆弱性の詳細画面

脆弱性の詳細画面

  • 再現性100%の脆弱性手順の報告・推奨対策を提示
  • 再検査の依頼~クローズまでお客様操作にて実施可能
  • お客様担当者同士やSRTとのチャット機能搭載
ARS(攻撃耐性スコア)

ARS(攻撃耐性スコア)

  • 貴社アプリケーション固有の攻撃耐性スコアを測定可能
  • 業界平均スコアと比較可能
  • サイトセキュリティ強度を客観的に掌握可能
Missions

Missions
(コンプライアンス対応目的検査)

  • OWASP、PCI-DSSを基にしたチェックリストと照合
  • 証跡を含めたレポートが生成でき、監査用途として利用が可能
  • 業界基準に則って、自社のセキュリティ課題・運用課題を掌握

Synack報告書サンプル

検査サマリーと評価
検査サマリーと評価
Missionリストのサマリーや詳細の解説
Missionリストのサマリーや
詳細の解説
悪用可能な脆弱性の詳細や対策を日本語で解説
悪用可能な脆弱性の詳細や対策を
日本語で解説

参考資料

各種セキュリティ診断やペネトレーションテストの総合マップ(849KB)
様々な種類のセキュリティ診断を一覧にまとめています。また、セキュリティ診断とペネトレーション診断の違いにも触れています。

セキュリティ診断とペネトレーションテスト(806.4KB)
セキュリティ診断をすでに実施しているお客様向けに、高度な診断となるペネトレーションテストの活用についてまとめています。

価格

詳細は個別見積もりにて承りますので、お問い合わせください。

お問い合わせ

ペネトレーションテストサービス
Synack
に関するお問い合わせ

いま注目されているサービス

  • teamviewer_top.png

    世界で一番支持されているリモート接続ツール「TeamViewer」が、業務効率と顧客満足度アップを実現します

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top