クラウドソーシング・ペネトレーションテスト「Synack」は
以下のような脆弱性対策を実現します
攻撃者と同じ視点で
脆弱性を探し出す
クラウドソーシングによる
密度の濃い検査
検査で発見された脆弱性を
管理する
自社のサービスへの
攻撃耐性を知る
攻撃者と同じ視点で脆弱性を探し出す
クラウドソーシングによる密度の濃い検査
検査で発見された脆弱性を管理する
自社のサービスへの攻撃耐性を知る
攻撃者と同じ視点で脆弱性を探し出す
重大な被害につながる問題がWebサービスにないかを知りたい
Synackでは重大な被害につながる問題に注力した検査を実施します
Synackの特長
- Synackでは重大な被害につながる脆弱性を発見したハッカーに報奨金を支払う「バグバウンティ方式」を活用しているため、 SRT(Synack Red Team)は攻撃者視点でインパクトの大きな脆弱性がありそうな箇所に注力して検査を行います。
- 一つのプロジェクトにおいて、40~60人のSRTメンバーがインパクトの大きな脆弱性がありそうな箇所に注力して検査を実施するため、他の脆弱性検査サービスでは検出しづらい脆弱性が検出される可能性が高くなります。
インパクトの大きな脆弱性がありそうな箇所に注力して検査
対応サービスラインナップ:
(各サービスの説明はこちら)
攻撃者と同じ視点で脆弱性を探し出す
単発の検査だけではなく継続して検査を実施したい
年間を通して精鋭のエシカルハッカーによる検査を継続的に実施します
Synackの特長
- 「Synack 365」サービスでは、マルチプラグインスキャナを用いた検査ツール「Hydra」によるツール検査および厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)による継続的な手動検査を24時間365日提供します。
- 一つのプロジェクトで検査を担当するSRT(Synack Red Team)のチームは約45日周期で交代を行い、常に新しい観点から検査を実施します。
- Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attack Resistance Score)」を毎日提供します。 ARSは脆弱性の検出状況や検出された脆弱性の改修状況により常に変化します。
SRTによる手動検査を年間を通して24時間365日提供
検査結果から算出される攻撃耐性スコア「ARS」
対応サービスラインナップ:
(各サービスの説明はこちら)
攻撃者と同じ視点で脆弱性を探し出す
攻撃者の視点でWebサービスに問題がないかを確認したい
厳しい審査を通過したエシカルハッカーのみが検査に参加します
Synackの特長
- Synack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)がサイバー攻撃者を模倣し、さまざまな攻撃ツールや最新の攻撃手法を駆使して検査を実施します。
- SRTは多様なバックグラウンドを持ち、それぞれの知見に基づく方法で検査を実施します。
- SRTによる疑似攻撃は全てSynack社が所有する検査ゲートウェイ「Launch Point」を通過することにより、制御・可視化されるため、本物の攻撃との区別が可能です。
厳しい審査を通過したエシカルハッカーのみが検査に参加
検査ゲートウェイ「Launch Point」による制御・可視化
対応サービスラインナップ:
(各サービスの説明はこちら)
攻撃者と同じ視点で脆弱性を探し出す
お客様の情報漏洩につながる問題がないかを検査したい
各組織で抱えるお悩みや不安に沿った検査を実施します
Synackの特長
- 検査前にお客様にヒアリングを行い、各組織で想定している脅威(情報漏えい、不正アクセスなど)がある場合は、その脅威につながる問題に注力した検査を実施します。
- コンプライアンスチェックリストである「Missions」に基づく検査について、お客様のご要望に応じて検査項目を追加した「カスタムミッションリスト」に基づく検査を実施可能です。
※追加可能な検査項目については弊社までご相談ください。
想定される脅威の例
対応サービスラインナップ:
(各サービスの説明はこちら)
クラウドソーシングによる密度の濃い検査
高レベルの技術者を集めてクラウドソーシング・テストを実施したい
厳しい審査を通過したエシカルハッカー集団の「集合知」を活用します
Synackの特長
- スキル審査だけにとどまらず、面接や身元・身辺調査などのSynack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)のみが検査に参加します。
- 従来の脆弱性検査と比較して多くの人数・時間を費やして検査を行う、世界中のエシカルハッカーの「集合知」を活用したサービスです。
- 一つのプロジェクトにおいて数十人のエシカルハッカーが密度の濃い検査を実施するため、他の脆弱性検査サービスでは検出しにくい脆弱性が検出される可能性が高くなります。
対応サービスラインナップ:
(各サービスの説明はこちら)
クラウドソーシングによる密度の濃い検査
従来の脆弱性検査だけでなく別のアプローチで検査をしたい
クラウドソーシング・セキュリティテスト「Synack」は新しい脆弱性対策です
Synackの特長
- 脆弱性検査をクラウドソーシングするテスト方式であるクラウドソーシング・セキュリティテストは、群衆(=クラウド)の集合知を活用した新しい脆弱性検査の形態です。多くの参加者が参加するため、多様な閃きや経験に基づく観点を活用できるという特徴があります。
- クラウドソーシング・セキュリティテストでは、検査を行うエシカルハッカーの募集のためにバグバウンティの仕組みを活用しています。脆弱性を見つけた技術者にのみ報奨金が支払われるため、脆弱性を見つけることに対するハッカーのモチベーションが高いことも特徴です。
対応サービスラインナップ:
(各サービスの説明はこちら)
検査で発見された脆弱性を管理する
見つかった脆弱性の影響などの詳細が知りたい
検査で検出した脆弱性の情報はポータル上にてリアルタイムで提供します
Synackの特長
- 検査で検出した脆弱性の情報はお客様向けWebポータル上にて提供します。検出した脆弱性についてキャプチャや動画にて再現手順を詳細に解説します。
- 脆弱性の情報は、検出されたものからWebポータル上で随時報告されます。お客様は、検査終了を待たずに検出された全ての脆弱性の情報を確認いただくことが可能です。
- Webポータル上の情報について不明な点がある場合は、レッドチーム・テクノロジーズのコンサルタントがサポートを行います。
検出した脆弱性の一覧をポータルに表示
対応サービスラインナップ:
(各サービスの説明はこちら)
検査で発見された脆弱性を管理する
見つかった脆弱性の修正方法をわかりやすく教えてほしい
検査で検出した脆弱性の修正方法をポータル上で解説します
Synackの特長
- 検出された脆弱性は、お客様向けWebポータルにて再現方法とともに報告されます。
- 影響の大きな脆弱性については都度、レッドチーム・テクノロジーズより詳細レポート(日本語)を提供します。
- Webポータル上の情報について不明な点がある場合は、ポータル上から脆弱性を発見したSRT(Synack Red Team)メンバーに直接質問が可能なほか、必要に応じてレッドチーム・テクノロジーズのコンサルタントがサポートを行います。
脆弱性の再現方法をポータルで説明
脆弱性の修正方法を解説
対応サービスラインナップ:
(各サービスの説明はこちら)
検査で発見された脆弱性を管理する
脆弱性の対応が終わったらすぐに再検査したい
ポータル上からボタン一つで再検査依頼が可能、追加費用も不要です
Synackの特長
- 検出された脆弱性に対する再検査は契約期間中に随時実施可能です。ポータル上のボタンから再検査依頼が可能です。
- サービス費用に再検査費用も含まれているため、再検査を実施するための追加費用は不要です。再検査期間内であれば、修正した脆弱性の再検査は何度でも実施可能です。
- 再検査のリクエストは、脆弱性を発見したSRT(Synack Red Team)メンバーに直接送信されます。リクエストを受け取ったSRTメンバーは再検査を実施して脆弱性が修正されたかどうかを確認します。
再検査依頼はポータル上のボタンから可能
対応サービスラインナップ:
(各サービスの説明はこちら)
検査で発見された脆弱性を管理する
脆弱性対応にどのように優先順位づけしたらいいか知りたい
検出した脆弱性の評価や優先順位付けをSynackにて実施します
Synackの特長
- Synack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team) が検出した脆弱性はCVSS(共通脆弱性評価システム)を用いて評価した影響度と合わせて報告されます。
- SRTによる検査結果は、Synack社の運用チームである「Mission Ops.」にて検証、再現、優先順位付けがされ、無効な検査結果や検査結果の重複は排除された上で顧客に報告されます。
- 各脆弱性の対応ステータスの管理がお客様向けWebポータル上で可能です。
Synackによる影響度の評価
対応サービスラインナップ:
(各サービスの説明はこちら)
自社のサービスへの攻撃耐性を知る
他社と比較して自社のサービスが安全かを知りたい
Synack社独自の計算方法で算出した攻撃耐性スコアで耐性を把握
Synackの特長
- Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attach Resistance Score)」をお客様向けWebポータルにて提供します。
- ARSは検出された脆弱性の検出までの時間や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれ、それらから算出したスコアはSynack社で検査を実施した他顧客システムとの比較が可能です。
- Synack365サービスで提供されるARSスコア年間を通して毎日更新されます。よって、脆弱性の検出状況や検出された脆弱性の改修状況により常に変化します。
検査結果から算出される攻撃耐性スコア「ARS」
対応サービスラインナップ:
(各サービスの説明はこちら)
自社のサービスへの攻撃耐性を知る
攻撃を受けたときにどの程度の時間を耐えられるかを知りたい
Synackでは「脆弱性を発見するのに要した時間」を報告します
Synackの特長
- 検出した脆弱性の報告においては、脆弱性を発見するのに要した時間も報告されます。
- Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attach Resistance Score)」をお客様向けWebポータルにて提供します。
- ARSは検出された脆弱性の検出までの労力や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれ、それらから算出したスコアはSynack社で検査を実施した他顧客システムとの比較が可能です。
検査結果から算出される攻撃耐性スコア「ARS」
対応サービスラインナップ:
(各サービスの説明はこちら)
