サービス概要

クラウドソーシング・ペネトレーションテスト「Synack」

「クラウドソーシング・ペネトレーションテスト」は
不特定多数のエシカルハッカーを募り、
サイバー攻撃につながるシステムの脆弱性の検出を試みる
新しい形のセキュリティ対策です。

世界中から集まった高い技術を持つエシカルハッカー集団と
独自開発のAI技術を組み合わせたセキュリティテスト、
検出された脆弱性を管理する顧客ポータルサイトの融合による
セキュリティ・プラットフォームをSynackは提供します。

サービスの内容

Hydraによる検査 AIを搭載した独自のスキャナ「Hydra」を用いて網羅的な脆弱性検査を行います。「Hydra」によるスキャン結果はSRTによってトリアージされた上で、Exploitable Vulnerabilities(実害に至る可能性がある脆弱性)として顧客ポータルに報告されます。
SRTによる検査 Synack社による厳しい審査を通過したエシカルハッカーであるSRT(Synack Red Team)が手動で徹底的な脆弱性検査を行います。1つのプロジェクトにつき、数十名のSRTメンバーが割り当てられます。
Missionsに基づくチェック OWASPテスティングガイドの項目に基づいたコンプライアンスチェックを行います。チェックはSRTが手動で行います。
ARSの算出 Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attack Resistance Score)」を提供します。ARSは検出された脆弱性の検出までの労力や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれています。
顧客ポータルサイト 検査期間中に検査状況や発見された脆弱性情報を確認することができる顧客ポータルサイトを提供します。顧客ポータルサイトは脆弱性の修正状況の変更や再検査の依頼など、脆弱性管理ツールとしても利用できます。

サービスの流れ

1.Hydraによる検査

Synackでは攻撃者と同様に、まずはターゲットを自動調査して弱点を探し出します。AIを搭載した独自のスキャナ「Hydra」は、マシンで自動で検出できるすべての脆弱性を短時間で発見できるように設計されています。「Hydra」によるスキャン結果はSRTによってトリアージされた上で、Exploitable Vulnerabilities(実害に至る可能性がある脆弱性)として顧客ポータルに報告されます。また、Hydraが検知した脆弱性情報は次のステップの手動検査の参考情報としてSynack Red Team(SRT)に提供されます。

2.SRTによる検査

SRT(Synack Red Team)が攻撃者を模倣して様々な攻撃ツールや最新の攻撃手法を駆使して検査を実施します。
検査の通信はすべてSynack社が保有するゲートウェイであるLaunch Pointを経由するため、お客様はSRTによる検査の通信を識別することができます。SRTは幅広いテクニックを用いて既知の脆弱性だけでなく、認証・認可、セッション管理などのほか、サービスの仕様に係る脆弱性を検査します。このフェーズでMissionsも実行されます。

3.脆弱性報告

SRTのすべての検査結果は、Synack社にて検証、再現、優先順位付けがされ、無効な検査結果や検査結果の重複は排除された上で顧客に報告されます。

4.再検査

発見された脆弱性を修正した場合、顧客は顧客ポータルから再検査を依頼できます。
再検査の要求は脆弱性を発見したSRTメンバーに直接送信され、SRTメンバーは再検査を実施して脆弱性が修正されたかどうかを確認します。再検査を行うことで、顧客はその脆弱性が解消したことを確認できます。

5.レポートとプロジェクト管理

契約期間を通じて、顧客は顧客ポータルにて脆弱性報告に加え、分析結果やカスタムレポート、検査しているSRTの人数や検査に費やした述べ時間などをオンデマンドで確認することができます。また、検出された脆弱性の状態(未対応、修正済)を変更、確認することができます。

サービスの種類

  • Discover

    AIを搭載した独自のスキャナ
    「Hydra」とエシカルハッカー集団
    「SRT」による脆弱性検査を実施

  • Certify

    「Hydra」と「SRT」による
    脆弱性検査に加えてMissionsで
    コンプライアンスチェックに対応

  • Synack365

    「Hydra」と「SRT」による
    脆弱性検査を24時間365日
    継続して実施

Discover

AIを搭載した独自のスキャナ「Hydra」とエシカルハッカー集団「SRT」による脆弱性検査を実施

サービスの内容

  • Hydraによる検査(スキャン):1~3日間
  • SRTによるマニュアル検査:7日間
  • 契約期間内(90日間)はいつでも顧客ポータルサイトの利用が可能
  • SRTが検出したExploitable Vulnerabilities(実害に至る可能性がある脆弱性)に対する再検査の実施が可能
  • 速報:影響度が高い脆弱性が検出された場合、3営業日以内に日本語の速報を提出
  • レッドチーム・テクノロジーズによる日本語サポート:個々の脆弱性情報に関する問い合わせなど

※日本語のレポート提供および報告会の実施は有償オプションでの対応となります。

サービス期間

Certify

「Hydra」と「SRT」による脆弱性検査に加えて「Missions」でコンプライアンスチェックに対応

サービスの内容

  • Hydraによる検査(スキャン):1~3日間
  • SRTによるマニュアル検査:7日間
  • Missions (ミッションチェックリストに基づく検査):1回実施
  • 契約期間内(1年間)はいつでも顧客ポータルサイトの利用が可能
  • SRTが検出したExploitable Vulnerabilities(実害に至る可能性がある脆弱性)に対する再検査の実施が可能
  • 速報:影響度が高い脆弱性が検出された場合、3営業日以内に日本語の速報を提出
  • レッドチーム・テクノロジーズによる日本語サポート:個々の脆弱性情報に関する問い合わせなど
  • 日本語のレポート提供および報告会の実施
  • 検査開始時に実施するHydraスキャン(1~3日間)と別に、Hydraによる年間スキャンを希望の場合は無償オプションとして提供

サービス期間

Synack365

「Hydra」と「SRT」による脆弱性検査を24時間365日実施「Missions」によるコンプライアンスチェックも提供

サービスの内容

  • Hydraによる検査(スキャン)、 SRTによるマニュアル検査:年間を通して実施
    ※SRTは数十名ごとにグループに分けられ、グループは約45日周期で入れ替えられます。
  • Missions Campaign(ミッションチェックリストに基づく検査):1回実施
  • ARS(攻撃耐性スコア):毎日更新
  • 契約期間内(1年間)はいつでも顧客ポータルサイトの利用が可能
  • SRTが検出したExploitable Vulnerabilities(実害に至る可能性がある脆弱性)に対する再検査の実施が可能
  • 速報:影響度が高い脆弱性が検出された場合、3営業日以内に日本語の速報を提出
  • レッドチーム・テクノロジーズによる日本語サポート:個々の脆弱性情報に関する問い合わせなど
  • 日本語のレポート提供および報告会の実施

サービス期間

お気軽にご相談ください

相談やお問い合わせに関しては以下より承っております。

Return to Top ▲