サービスの特徴

サービスの構成

Synack Red Team (SRT)

80カ国以上、1,500名以上のSynack契約のエシカルハッカー(SRT)が検査を実施します。
スキルチェックや身元確認など合格率10%未満の厳しい検査を通過した、スキルレベルと信頼性の高い検査員です。

Hydra Technology

Synack独自の検査ツールで、常に最新の脆弱性リストに基づいて検査対象システムを自動検査します。

Launch Point

Synack独自のセキュアゲートウェイで、SRTおよびHydraの検査は全てLaunch Pointを経由して顧客の検査対象システムにアクセスします。
Launch Pointでは全ての通信記録を残しており、Mission Ops.による監査が可能です。
それにより、SRTの不正行為を防ぎます。

検査対象システム

※Webアプリケーションに加え、サーバなどのホストやモバイルアプリケーションの検査も対象によっては実施可能です。

Mission Ops.

Synack社内の運用チームで、SRTのアサインや検査の進捗、SRTからの脆弱性報告の検証と優先順位付けを実施します。

顧客ポータル

顧客向けのポータルサイトです。検査終了日を待たず、検査期間中に検査状況や発見された脆弱性情報を確認することができます。
脆弱性の修正状況の変更や再検査の依頼など、脆弱性管理ツールとしても利用できます。

サービスの構成

Synack Red Team (SRT)

80カ国以上、1,500名以上のSynack契約のエシカルハッカー(SRT)が検査を実施します。
スキルチェックや身元確認など合格率10%未満の厳しい検査を通過した、スキルレベルと信頼性の高い検査員です。

Hydra Technology

Synack独自の検査ツールで、常に最新の脆弱性リストに基づいて検査対象システムを自動検査します。

Launch Point

Synack独自のセキュアゲートウェイで、SRTおよびHydraの検査は全てLaunch Pointを経由して顧客の検査対象システムにアクセスします。
Launch Pointでは全ての通信記録を残しており、Mission Ops.による監査が可能です。
それにより、SRTの不正行為を防ぎます。

検査対象システム

※サーバなどのホストや、モバイルアプリケーションの検査も対象によっては実施可能です。

Mission Ops.

Synack社内の運用チームで、SRTのアサインや検査の進捗、SRTからの脆弱性報告の検証と優先順位付けを実施します。

顧客ポータル

顧客向けのポータルサイトです。検査終了日を待たず、検査期間中に検査状況や発見された脆弱性情報を確認することができます。
脆弱性の修正状況の変更や再検査の依頼など、脆弱性管理ツールとしても利用できます。

サービスの特徴

1. Hydra による検査

Synack独自開発の検査ツール「Hydra」は自動学習エンジン「Apollo」を搭載しており、データサイエンスと機械学習を使用して、反復可能なタスクを自動化します。またSRTの手法を学習し、新しい洞察を用いて検出を強化します。「Hydra」によるスキャン結果はSRTによってトリアージされた上で、Exploitable Vulnerabilities(実害に至る可能性がある脆弱性)として顧客ポータルに報告されます。

2. SRTによる検査

Synack Red Team(SRT)はスキルチェックや身元確認など合格率10%未満の厳しい審査を通過したエシカルハッカーです。
1つのプロジェクトにつき、数十名のSRTが配置されます。検査は手動およびSRTが保有するツールを用い、攻撃者視点で脆弱性がありそうな箇所に注力して検査する「バグバウンティ方式」で行われます。

3. 再診断

SRTによって検出された脆弱性は、顧客ポータルから再検査依頼が可能です。顧客ポータルから再検査依頼を行うと、当該脆弱性を発見したSRTが再検査を行います。再検査は無料で実施でき、契約期間内であれば何度でも実施が可能です。

4. Missions (Synack 365はMissions Campaign)

OWASPテスティングガイドなどのコンプライアンスに基づいたチェックを実施します。
手動およびSRTが保有するツールを用いて、SRTがチェックを実施します。チェック結果は、顧客ポータルにて簡易な証跡とともに報告されます。Missionsには3~4名の専任のSRTが配置されます。

5. ARS

Synack社独自の計算方法で算出した攻撃耐性スコア「ARS(Attack Resistance Score)」をポータルにて提供します。ARSは検出された脆弱性の検出までの労力や難易度、システムへの影響度、修正までの時間などが計算の要素に取り込まれ、それらから算出したスコアはSynack社で検査を実施した他顧客システムとの比較が可能です。ARSは脆弱性の検出状況や改修状況により常に変化します。

SRTの選考過程

厳しい身元・身辺調査、スキル調査をクリアした者だけがエシカルハッカーとしてお客様の検査対象を検査します。

一般的な脆弱性検査サービスと
Synackの違い

一般的な
脆弱性検査サービス
各社の経験則や各種ガイドラインなどに基づく検査項目に従い、網羅的に検査を実施する

検査で重視すること

SRTそれぞれの得意な技術を用いて、インパクトの大きな脆弱性が出そうな箇所を優先して検査する
検査項目に従って実施するため、影響の大きなものから小さなものまで幅広い脆弱性が見つかる

見つかりやすい脆弱性

SRTによる検査にバグバウンティ(*)の仕組みを取り入れているため、影響の大きな脆弱性が見つかりやすい
通常は1システムあたり1~2名多くても5名程度

検査を実施する人数

1プロジェクトあたり数十名のSRTメンバーをアサイン
1~2名の検査員がかけられる時間
およそ40~80時間程度

検査にかける時間

数十名のSRTが検査を実施
250時間~350時間程度

(*)バグバウンティ
企業などが提供しているWebアプリケーションやサーバ、ソフトウェアなどに対して、世界中の多くの技術者を募集し、脆弱性の調査を行う仕組み。脆弱性を見つけた技術者には企業などから見つけた内容に応じた報奨金(=バウンティ)が支払われる。

お気軽にご相談ください

相談やお問い合わせに関しては以下より承っております。

Return to Top ▲