ペンタゴンが指名する
クラウドソース・ペネトレーションテストサービス

Synack(シナック)

現状の脆弱性検査サービスの課題

検査員の
スキル・網羅性・適合性の制限
検査状況の
視覚化と透明性の欠如
Point-in-Timeの
ソリューション
継続性や完結性の欠如

Synackの特長

スキルが高く多様性に富んだ
多数の検査員
検査状況と脆弱性情報を
リアルタイムに提供
継続的な検査と
変化への柔軟な対応
脆弱性のライフタイム管理と
サポート

Synackの強み

Synack(シナック)

人手による検査は
スケールしない

少人数の検査員では継続的な検査は提供できず、
検査員個人のスキル、得意分野、適合性に依存する
Synack(シナック)

自動検査ツールによる検査は
柔軟性がない

自動検査ツールでは
ハッカーの柔軟性に対抗できない
Synack(シナック)

Synackによる答え

自動検査ツールによる大規模対応と、
スキルが高く多様性に富んだ
多数の検査員による柔軟性を
同時に提供

Synackの仕組み

Synack(シナック)

Synack Red Team(SRT)

世界最高級のホワイトハッカー(Ethical Hacker)チーム

  • 世界50ヶ国超から参加する1000名を超える多様なスキルセットを持ったホワイトハッカー集団
  • Webアプリ、モバイルアプリ、IoTデバイス、サーバ、ネットワーク、リバースエンジニアリングなどの得意分野を持った多様性のあるメンバー
  • スキルと身元の信頼性に関する厳しい審査を通過したメンバーにより構成される(採用率 < 10%)
  • 顧客の検査対象に応じて、得意分野が適合する適任者を選定し検査チームを編成(50~100人)
  • 脆弱性発見者にのみ報奨金が発生する仕組みにより、迅速で網羅的な検査を促進

Hydra

Synack Red Team (SRT) の強力な武器=独自スキャナー

  • 顧客システムのネットワークやサーバを調査するツール
  • ハッカーコミュニティで公開された最新ツールや手法を、SRTで共有
  • 調査対象に対して既知の脆弱性検査を自動実行(SRTは直接スキャン・マッピング・検出作業は行わない)
  • 初動で検出した脆弱性を報告
  • スキャン結果はSRTに共有され、 SRTはこの情報を元に更に深い脆弱性検査を実施

LaunchPoint

脆弱性検査作業を記録・監視するゲートウェイ

  • SRTによる脆弱性検査は全てLaunchPoint経由で実施
  • 検査の作業は全て記録され、Mission Opsチームにて監視や脆弱性の確認、再現で利用

Mission Ops

顧客のプロジェクトを管理するSynack社チーム

  • 顧客と検査対象を調整
  • 顧客の検査対象に合わせてSRTを編成・管理
  • SRTが発見した脆弱性の確認とレポート作成支援
  • 顧客の脆弱性修正を支援し、修正後の再検査を実施

Client Portal

顧客が検査状況やレポートをリアルタイムに確認できるポータル

  • 検査状況や、発見された脆弱性情報(深刻度、概要、影響度、詳細な脆弱性の説明、修正方法等)をリアルタイムに表示
  • 必要に応じて検査作業を中断・再開することも可能
  • 修正した脆弱性に対する再検査の依頼や再検査結果も確認可能

Synack Red Teamの選考過程

スキルと身元の信頼性に関する合格率10%以下の厳しい審査を通過した検査員
採用後も検査状況は継続的に監視・審査される

Synack(シナック)
Synack(シナック)

サービスラインナップ

2種類のサービスをご用意しております

基本的なサービス内容

  1. Hydraによる網羅的な脆弱性診断
  2. Client Portalの提供(リアルタイム情報:英語)
  3. コンプライアンス適合評価(対象:OWASP Top 10、 PCI DSS、NIST SP 800-53)
  4. Attacker Resistance Score (ARS :攻撃耐性スコア*)の算出
    *検査結果と独自のアルゴリズムで、お客様環境の攻撃耐性をスコア化する特許技術

■Crowdsourced Penetration Testing (CPT)

チェックリスト(70項目)に基づく、包括的な脆弱性診断

  • SRTによる検査:24時間×7日間を1回実施
  • 報告会(分析レポート:日本語)を1回実施
  • 攻撃耐性スコア(ARS)をSRT検査後に1回提供

■Crowdsourced Continuous Testing (CCT)

チェックリスト( 70項目)に基づく、年間継続型の脆弱性診断

  • SRTによる検査:24時間×7日間を2回実施
  • 報告会(分析レポート:日本語)を2回実施
  • 攻撃耐性スコア(ARS)をSRT検査後、年間提供

定額制料金

いずれも検査範囲による定額料金
検査工数による追加料金は発生しません

資料請求

Synackサービス紹介

PDF資料(1.7MB)
2ページ

Synack Trust Report
(翻訳付き)

PDF資料(5.9MB)
翻訳26ページ/本編34ページ

資料ご希望の方は以下メール宛に社名、お名前、電話番号を明記の上、ご連絡をお願いいたします。