お客様のご要望に応じて個別にカスタマイズした
セキュリティ検査サービスを提供

VDA Labs

VDA Labsの紹介

経験豊富なエキスパート

  • 20年以上のセキュリティ検査経験を持つ工学博士、研究者などセキュリティ業界の有識者
  • バックグラウンド:米国国家安全保障局、特殊部隊、米国空軍など
  • セキュリティクリアランス資格(*1)を保有
  • 様々な高度セキュリティ資格を保有:CISSP, CEH, GPEN, GSEC, GCIH, OSCE, OSCP, SLAE, Net+, Sec+, GIAC, GCFA など

技術面での優位性

  • 世界最高峰のハッキングコンテスト「DEFCON CTF」優勝
  • 「ハック・ザ・ペンタゴン(*2) 」プログラム参加の1410人中「最優秀賞」を受賞
  • 世界最大のセキュリティカンファレンス「Black Hat」での13年間にわたる基調トレーニングの実施など、豊富なトレーニング・講演・執筆の実績

(*1)セキュリティクリアランス:米国の国家の機密情報にアクセスを許される信用資格であり、米国政府機関によって付与されるステータス。
セキュリティクリアランス調査では、個人の忠誠心、性格、信頼性、信頼性を調査し、国家安全保障情報にアクセスする資格があることを確認する。

(*2)米国政府系機関として初めて国防総省が実施したバグ報奨金制度(Bug Bounty Program)。
2016年に国防総省のWebサイトを対象として実施し、3週間で1,400名のハッカーが参加、138個の脆弱性が発見された。

サービス内容

■セキュリティ検査サービス

お客様のご要望に応じて個別にカスタムしたセキュリティ検査サービスを提供します。
ブラックボックス形式の検査とホワイトボックス形式の検査のいずれにも対応するほか、検査方式の判断が困難な場合はVDA Labsにて助言を行います。

検査種別 検査対象の例
IoT機器・ハードウェア検査 自動運転基盤、IoT機器、組み込み系ハードウェアなど
アプリケーション検査 Webアプリケーション、モバイルアプリケーション、APIなど
プラットフォーム検査 公開システム、内部システム、無線ネットワーク、物理ネットワークなど
重要システムのリスク評価 重要データ、シングルサインオンシステム、検証環境、など

ブラックボックス形式の検査

前提知識がない攻撃者が何を見つけ出すのかを目的として検査をします。外部公開のURLやIPアドレスを提供してもらったうえで検査を行います。VPNを通して内部ネットワークの検査もできます。

ホワイトボックス形式の検査

機器や外部公開IPアドレスに加え、ユーザ一覧、ソースコード、内部のIPアドレスレンジなどの情報も事前に共有します。情報収集の作業にかかるコストを削減し、システムやIT資産のより深部に潜む問題を見つけ出す検査ができます。

特徴と強み

VDAのセキュリティ検査の特徴

  • プロジェクトの実施期間中、VDA Labsではセキュリティリスクと脆弱性を特定した上で、調査結果を報告し、合わせて修正と開発者の機能強化のための推奨事項を提供します。
  • 検出した脆弱性やセキュリティリスクについては精査を行った上で、推奨対策や改善案を含めたレポート形式で報告します。
  • 契約期間の間、VDAでは対象となるサービスやコンポーネントの攻撃耐性や攻撃可能となる経路を時間の許す限り調査します。最終報告書では、検出した脆弱性の一覧や推奨される対策、および解析結果の詳細について取りまとめて報告します。

VDAのセキュリティ検査の強み

  • VDAは、豊富なセキュリティ検査経験と開発実績により、独自のツールや特定の攻撃方法を必要に応じてカスタム作成します。
  • お客様の固有のシステムに合わせて検査手法を調整し、複雑なマニュアル攻撃を自動化することで、限られた時間の中で多くのシステムセキュリティを検証することができ、高品質な結果を提供します。

検査例

検査内容:IoT機器 ペネトレーションテスト

※下記は固有の機器を対象とした一例であり、検査内容は検査対象によってカスタマイズされます。

検査内容 詳細
情報収集
  • お客様の従業員やインフラ環境について、オープン・ソース・インテリジェンス(OSINT)およびその他の一般的な情報を用いた情報収集を行います。OSINTによる情報収集では、入手した情報によるログイン列挙攻撃やパスワードスプレー攻撃などの手法によって、攻撃者の侵入の足掛かりとなる箇所を特定できる可能性があります。
  • ブルートフォース攻撃もしくはアカウントの乗っ取りによるアカウント情報の取得の試行を行います。
セキュリティスキャン
  • VDAはテスト対象のシステムに対して、自動・手動両方の手段でスキャンを行います。
  • スキャンでは多数のツールを使用します。(詳細は別途お問い合わせください)
手動での侵入テスト
  • ペネトレーションテストの目的は、重要なデータや管理者権限が脅かす問題がないか検査することです。手動でのペネトレーションテストにおけるシステムへの侵入やシステム内部での展開と平行して、VDA labsは随時検出した攻撃手法と、その攻撃のセキュリティ対策について報告します。
  • 上記のテストに加え、ペネトレーションテストではお客様のシステム環境をふまえてその場でカスタムしたツールや攻撃手法によるテストを実施します。テストの性質上、それらのテストの実施についてはお客様に対しての事前の通知はいたしかねます。
  • テストチームは作業期間中に時間が許す限りテストを行います。その結果、検査対象のネットワーク特有の新しい攻撃手法やセキュリティ上の欠陥を発見する可能性があります。
  • テストでは組織の外部からアクセス可能なカメラ、プリンター、サーバ、アプリケーションおよび保護されていないデータなどを発見する可能性があります。テストを通して発見した全ての事項について、最終報告書の中でお客様にご報告します。

検査内容:Webアプリケーション脆弱性検査

Webアプリケーションの脆弱性検査では可能な限り多くの脆弱性を洗い出すために、Web/モバイルアプリケーション向け「OWASP Top 10」に基づいた検査や、C/C++で開発された製品のメモリ破損に焦点をあてた検査ツールや検査手法を提供します。

検査内容 詳細
ユーザー/ロールの分析
  • 様々な特権レベルでバグを探索し、アクセスコントロールの有効性を評価します。
コンポーネント分析 以下のことを行うためにツールを介してソフトウェアを実行します。
  • 使用されているサードパーティのフレームワークとサブシステムの発見
  • 既知の脆弱性(古いライブラリ等)とライセンスの問題の確認
静的解析
  • デバッグマークが確認された場合(またはソースコードが提供された場合)オープンソースのあるいは商用スキャナを使用して、製品/コード全体で欠陥を特定します。
動的分析 以下のような観点で脆弱性スキャンと問題点の収集を行います。
  • オープンソースのあるいは商用ツールを使用して脆弱性の発見を自動化
  • 半手動ツールを使用して攻撃対象の脆弱性を調査(詳細は別途お問い合わせください)
  • ファジングツールを利用(詳細は別途お問い合わせください)
  • HTTPパラメータの検査
  • JSONその他APIのエンドポイントに対し様々な入力を用いたファジング
  • SMSや接続されたコンポーネントが対象に含まれる場合は、それらを対象とした検査
マニュアル分析
  • より深い実装と設計レベルの欠陥を探す専門家の検証
  • 自動化された手段で確認することのできないビジネスロジックの欠陥を追求
  • 自動化されたツールが発見しない深刻な脆弱性やシステムのバグを発見することがあります。