弊社がご提供する脆弱性診断・ペネトレーションテストサービスでは、Spirent社から提供されるSecurityLabsを採用しています。
SecurityLabsは、Webアプリケーション・ネットワーク・ソースコード・IoTデバイスなどに対する脆弱性診断やペネトレーションテストをSaaS型サービスで提供するサービスです。
サービス提供者であるSpirentCommunication社は1936年設立の会社で、ロンドン証券取引所に上場しており、オペレーション本部は米国シリコンバレー。主にキャリアやセキュリティベンダーに対して、帯域テスト・パフォーマンステストなど、いわゆるテスターと呼ばれているものを長年提供していたが、近年ではセキュリティに注力し、SecurityLabsというサービス名でホワイトハッカーチームを立ち上げ、本サービスでは主に脆弱性診断とペネトレーションテストを提供しています。
公開されている既知の脆弱性が診断対象(例:Webアプリケーション、ネットワーク)の中に含まれていないか、ツールによるスキャニングをすることで特定し、診断対象に脆弱性が含まれていないかを特定・確認することが出来ます。
特長:安価・短時間で診断が可能です。
考慮点:テスト仕様が固定で細かな点まで確認するためにはペネトレーションテストの実施が必要。
脆弱性診断を行った上で、ホワイトハッカーによるエシカルハッキングをすることで、未知の脆弱性の発見や発見された脆弱性を突かれ攻撃されるリスク・影響範囲などを攻撃者の視点で脆弱性を特定・確認することが出来ます。
特長:柔軟なリクエストが可能・細かな点まで確認が可能です。
考慮点:脆弱性診断に比べてコスト・時間がより多く必要となります。(15営業日程)
「Spirent社は世界的なCREST認定を取得、世界中のお客様に世界最高レベルの倫理的侵入テストを保証」
CRESTとは、情報セキュリティ市場を代表するイギリスの認定機関で、個人ではなく企業が厳しい試験に合格し、最高水準を満たしたスキル・能力・最先端技術・知識を備えた企業に与えられる認定です。ヨーロッパや北米ではベンダー選定時のスタンダード基準となっています。
URL: https://www.crest-approved.org/membercompanies/spirent-communications-plc/index.html
毎年「BlackHat」や「DEFCON」など世界的な国際会議に招待され、数々の実績を残しております。例えば、コネクテッドカー・GPS・メディカルデバイス・IoTデバイスに対するエシカルハッキングにも精通しており、世界トップレベルのハッキング技術を抱えるホワイトハッカーが20名程在籍しています。
Q:アプライアンス型ですか?
A:SaaS型のサービスで基本的にリモートによる診断となりますので、アプライアンスの導入やソフトのインストールの必要はございません。
Q:オンサイトでもできますか?
A:基本的にはリモートによる診断ですが、オンサイトでの診断も可能となります。その場合、米国よりホワイトハッカーに来日いただく必要がありますので、別途渡航費を頂戴することになります。
Q:脆弱性診断に使うツールは?
A:Spirent社の場合、自社が持つ脆弱性データベース以外にも、Rapid7・Nessus・Qualys・NIST・NSA・Trustwave・PortSwigger・NIKTO・Web
Scarab・Fiddlerなど計20種以上の無償や有償の脆弱性提供ベンダーより脆弱性を収集し、1つのデータベースとしてご提供をすることで、カバレッジの広い診断ができるのが脆弱性診断でのポイントとなります。
Q:再テストは別途金額が発生しますか?
A:脆弱性診断・ペネトレーションテストのいずれも、再テストの金額がコースの中に含まれておりますので、別途金額の発生はございません。診断後再テスト希望の場合はお気軽にご要望下さい。
Q:報告会は別途金額発生しますか?
A:脆弱性診断ではベンダーによる報告会は行わずレポートのみのご提供となります。ペネトレーションテストの場合はレポートのご提供とともに無償でベンダーによる報告会を実施させて頂きます。
Q:レポートはPDF形式でしょうか。
A:診断を受けて頂いた全てのお客様には無償でSaaS型のポータルサイトにアクセスするためのアカウントを発行いたします。ポータルサイトより診断結果の確認が出来ると共にPDFでのダウンロードも可能となります。また過去の診断履歴も簡単に遡って確認したり、簡易的なグラフで過去の診断結果との比較にもご利用いただけます。
Q:レポートは日本語対応していますか?
A:ポータルサイトによるレポートのダウンロードに関しては英語でのレポートとなりますが、弊社より日本語翻訳オプションもございますので、日本語対応ご希望の場合はお気軽にお申し下さい。