ペンタゴンが指名する
クラウドソース・ペネトレーションテストサービス

Synack(シナック)

現状の脆弱性検査サービスの課題

検査員の
スキル・網羅性・適合性の制限
検査状況の
視覚化と透明性の欠如
Point-in-Timeの
ソリューション
継続性や完結性の欠如

Synackの特長

スキルが高く多様性に富んだ
多数の検査員
検査状況と脆弱性情報を
リアルタイムに提供
継続的な検査と
変化への柔軟な対応
脆弱性のライフタイム管理と
サポート

Synackの強み

Synack(シナック)

人手による検査は
スケールしない

少人数の検査員では継続的な検査は提供できず、
検査員個人のスキル、得意分野、適合性に依存する
Synack(シナック)

自動検査ツールによる検査は
柔軟性がない

自動検査ツールでは
ハッカーの柔軟性に対抗できない
Synack(シナック)

Synackによる答え

自動検査ツールによる大規模対応と、
スキルが高く多様性に富んだ
多数の検査員による柔軟性を
同時に提供

Synackの仕組み

Synack(シナック)

Synack Red Team(SRT)

世界最高級のホワイトハッカー(Ethical Hacker)チーム

  • 世界80ヶ国超から参加する1200名を超える多様なスキルセットを持ったホワイトハッカー集団
  • Webアプリ、モバイルアプリ、IoTデバイス、サーバ、ネットワーク、リバースエンジニアリングなどの得意分野を持った多様性のあるメンバー
  • スキルと身元の信頼性に関する厳しい審査を通過したメンバーにより構成される(採用率 < 10%)
  • 顧客の検査対象に応じて、得意分野が適合する適任者を選定し検査チームを編成(50~100人)
  • 脆弱性発見者にのみ報奨金が発生する仕組みにより、迅速で網羅的な検査を促進

Hydra

Synack Red Team (SRT) の強力な武器=独自スキャナー

  • 顧客システムのネットワークやサーバを調査するツール
  • ハッカーコミュニティで公開された最新ツールや手法を、SRTで共有
  • 調査対象に対して既知の脆弱性検査を自動実行(SRTは直接スキャン・マッピング・検出作業は行わない)
  • 初動で検出した脆弱性を報告
  • スキャン結果はSRTに共有され、 SRTはこの情報を元に更に深い脆弱性検査を実施

LaunchPoint

脆弱性検査作業を記録・監視するゲートウェイ

  • SRTによる脆弱性検査は全てLaunchPoint経由で実施
  • 検査の作業は全て記録され、Mission Opsチームにて監視や脆弱性の確認、再現で利用

Mission Ops

顧客のプロジェクトを管理するSynack社チーム

  • 顧客と検査対象を調整
  • 顧客の検査対象に合わせてSRTを編成・管理
  • SRTが発見した脆弱性の確認とレポート作成支援
  • 顧客の脆弱性修正を支援し、修正後の再検査を実施

Client Portal

顧客が検査状況やレポートをリアルタイムに確認できるポータル

  • 検査状況や、発見された脆弱性情報(深刻度、概要、影響度、詳細な脆弱性の説明、修正方法等)をリアルタイムに表示
  • 必要に応じて検査作業を中断・再開することも可能
  • 修正した脆弱性に対する再検査の依頼や再検査結果も確認可能

Synack Red Teamの選考過程

スキルと身元の信頼性に関する合格率10%以下の厳しい審査を通過した検査員
採用後も検査状況は継続的に監視・審査される

Synack(シナック)
Synack(シナック)

サービスラインナップ

4種類のサービスをご用意しております

基本的なサービス内容

  1. Hydraによる網羅的な脆弱性診断
  2. Client Portalの提供(リアルタイム情報:英語)
  3. SRT による脆弱性の検証
  4. Attacker Resistance Score (ARS :攻撃耐性スコア*)の算出
    *検査結果と独自のアルゴリズムで、お客様環境の攻撃耐性をスコア化する特許技術
    **SmartScanのみの提供の場合は含まれない

■Synack 365

365日継続のクラウドソースペネトレーションテスト

  • SRTによる検査:365日継続
  • SRTによるパッチ再検証
  • Mission リストに基づくコンプライアンス適合評価 :年2回
    (対象:OWASP Top 10, PCI-DSS、NIST SP 800- 53)
  • ARSの提供 (期間中毎週、数値の算出)
  • 報告会(分析レポート:日本語)を年2回実施

■Certify

コンプライアンス対応のクラウドソースペネトレーションテスト

  • SRTによる検査:7日間
  • SRTによるパッチ再検証
  • Mission リストに基づくコンプライアンス適合評価 :年1回
    (対象:OWASP Top 10, PCI-DSS、NIST SP 800- 53)
  • ARSの提供 (検査終了後に1回)
  • 報告会(分析レポート:日本語)を年1回実施
  • SmartScanの提供 *オプション

■Discover

クラウドソースペネトレーションテスト

  • SRTによる検査:7日間
  • SRTによるパッチ再検証
  • ARSの提供 (検査終了後に1回)
  • 報告会(分析レポート:日本語)を年1回実施

■SmartScan

ノイズレスなインテリジェントスキャン

  • Hydraによる脆弱性検出
  • SRTによるトリアージ

定額制料金

いずれも検査範囲による定額料金
検査工数による追加料金は発生しません

Synack Client Portalサンプル画面

ダッシュボード

ARS(攻撃耐性評価)

脆弱性一覧

脆弱性詳細

Synack 報告書サンプル

検査サマリーと評価

Missionリストのサマリーや詳細の解説

悪用可能な脆弱性の詳細や対策を日本語で解説

資料請求

Synackサービス紹介

PDF資料(1.7MB)
2ページ

Synack Trust Report
(翻訳付き)

PDF資料(5.9MB)
翻訳26ページ/本編34ページ

資料ご希望の方は以下メール宛に社名、お名前、電話番号を明記の上、ご連絡をお願いいたします。