脆弱性診断(ペネトレーションテスト)
侵入テストから改善アドバイスまで
企業向けセキュリティ検証サービス。物理・人・サイバーを組み合わせた現実に近い疑似攻撃を仕掛け脆弱性を発見し改善のアドバイスを行います。
サービス・製品概要
企業向けのセキュリティ対策検証サービス。サイバーセキュリティの侵入テストと改善アドバイスを行う。
セキュリティ専門家が攻撃チームを作り、物理・人・サイバーを組み合わせ、物理・仮想を問わず、現実に近い形であらゆる攻撃を仕掛けて、顧客企業のセキュリティ対策の実効性を検証する。
銀行、保険、ハイテク、自動車、エネルギー、コミュニケーション、インフラ、ヘルスケア、国際的なメガブランドなど、さまざまな分野でサービスを提供。
ヨーロッパ、米国、イスラエルのFortune 500企業にサービスを提供。世界中の情報セキュリティ経験を持つ経験豊富なセキュリティ専門家と、軍事情報専門家がチームに含まれています。
特徴
レッドチーム演習
セキュリティの専門家が攻撃チームを作り、物理・人・サイバーを組み合わせ、物理・仮想を問わず、現実に近い形であらゆる攻撃を仕掛けて、顧客企業のセキュリティ対策の実効性を検証。
システム、ネットワーク、データセンターにおける起こりうる攻撃、弱点、脆弱性の予測まで、独自の分析情報をお客様に提供します。
侵入テスト
システム、ネットワーク、およびアプリケーションのフルスペクトル、ブラックボックスおよびホワイトボックス侵入テストを行い、攻撃者が悪用する可能性がある脆弱性を発見します。
コードレビュー
ソースコードを体系的に調べて、セキュリティの脆弱性を見つけて解決します。
アプリケーションセキュリティトレーニングプログラム
セキュリティ評価と設計レビューから、アプリケーションセキュリティトレーニングまで行います。
安全なソフトウェアを作成するためには、開発に携わる技術者は、開発に伴うリスクを理解し、それらを防ぐ方法について適切な訓練を受けなければなりません。技術者がセキュリティの基本およびセキュリティとプライバシーの最新の動向について常に情報を得られるようにすることで、より安全なソフトウェアを開発することができます。
アプリケーションセキュリティトレーニングプログラムには、次のようなトピックが含まれています。
- ・脅威のモデリング:ビジネス目標、ユーザーの役割、データ、およびユースケースを定義 - 機密性、完全性、およびデータの可用性を危うくする可能性がある脅威を特定します。
- ・攻撃面の縮小、徹底的な防御、最小特権の原則、安全なデフォルトなど、安全な設計原則
- ・安全なコーディング、バッファオーバーラン緩和、エラー処理、入力検証、適切なエンコード技術、暗号化など
- ・OWASPトップ10の紹介、SQLインジェクション、クロスサイトスクリプティング、クリックジャッキングなどの一般的な攻撃
- ・アプリケーションセキュリティの基本:上記すべてを網羅するアプリケーションセキュリティドメインの広範な紹介。