今や企業の情報公開にとどまらず、オンライントレードやネットショッピングなど、Webシステムの活用は事業活動に必要不可欠な存在となっております。その一方で、企業のネットサイトは、悪意ある攻撃者による情報システムへの侵入経路として危険にさらされています。
システムに存在する脆弱性は、時として深刻な被害にもつながる看過できない脅威であり、脆弱性対策は事業継続性における必須の課題です。その第一歩は、脆弱性の存在を検知し、内包するリスクを適切に把握するところから始まります。脆弱性診断により、悪意ある攻撃を受ける前に、自らリスクを発見し、防御するための問題特定ができます。
脆弱性診断は、一度実施すればよいというものでも、特定の対象のみに対して実施すれば十分というものでもありません。システムのライフサイクルに応じて、できるだけ適切なタイミング、適切な対象範囲への実施を検討してください。BBSecの脆弱性診断は、時々刻々と変化する環境に対応するため、システムの各フェーズにおいて多様な対象範囲にご利用いただくことで、お客様システムの健全化に貢献します。
BBSecの脆弱性診断は、独自開発を含む複数のツールを使用した自動診断と、経験豊富なセキュリティエンジニアによる精度の高い手動診断を組み合わせることで、高レベルの診断結果を導き出します。
診断範囲確定後、ツール診断と手動診断を行います。ツール診断で発生する誤検知や過検知、検知の見落としを人的な診断によりフォローし、正確な実態の把握を可能にします。さらに、検出された脆弱性にどのように対処すべきかを報告書・報告会でご説明いたします。診断後、脆弱性への対応状況を確認する再診断も提供しています。
| 高精度な脆弱性診断 | 専門技術者がチームを組み脆弱性診断を実施。セキュリティ情報の常時リサーチに基づく診断パターンの更新により、診断品質の維持と向上を図っています。 |
|---|---|
| 継続利用によるメリット | 定期的な脆弱性診断は、新たな脆弱性の発見、最新の攻撃手法に対するシステムの耐久力把握、診断結果を活用したリスク管理などに有効です。 |
| 様々な業界からの診断依頼に対応 | 偏ることなく、幅広い業種から脆弱性診断のご依頼を受けています。 |
| コーポレートガバナンスに貢献 | 第三者による脆弱性診断は、事業継続性に対するコーポレートガバナンスとしても活用されています。 |
| サイバー保険付帯 | 費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、BBSecから提供する脆弱性診断サービス「SQAT® 脆弱性診断」のすべてに、サイバー保険を付帯しました。 サイバー保険の詳細を見る |
Webアプリケーション・API
脆弱性診断 SQATⓇ for Web
Webアプリケーション・APIを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断すること で、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報 に基づき実施されますので、開発時の脆弱性初期診断だけでなく、定期的な実施など 既存システムの脆弱性対策の確認にも活用することをおすすめしています。
ネットワークへの侵入はシステム構成により企業全体へと影響を及ぼす可能性があり、脆弱性に対する対策は極めて重要です。ファイアウォール等のセキュリティ機器の診断を行うことにより、機器自体の問題やセキュリティパッチ適用漏れを見つけることができます。
スマホアプリ脆弱性診断
SQATⓇ for Smartphone
通信を必要とするスマートフォンアプリに対し、端末にインストールされるアプリケーション・サーバ双方の脆弱性診断を行います。
IoTデバイス実機を使った静的・動的解析を実施します。デバイス単体の検査はもちろん、機器の特性・利用シーンに合わせた項目を選定し、効果的・効率的な診断を実施します。
ペネトレーションテスト
SQATⓇ Penetration Test
事前の綿密な調査により特定した「システム内でより弱い(脆弱な)個所」を起点にシナリオベースの疑似攻撃を仕掛け、システムの堅牢性を確認する検査です。実際の攻撃を体験することで、効果的な防御方法(システム・運用方法)の構築が可能となり、万一攻撃者にシステムへ侵入された場合の被害を最小化できます。
業界ベンチマーク+第三者視点のチェックで課題解決を加速します。
独自開発ソフトウェアのソースコードを静的に分析し、セキュアなコーディングルールならびにデータフローをチェックし、隠された脆弱性とコーディング品質を検証し、結果をお伝えすると共に回避の為の改善案も提示します。
インターネット上の公開情報(OSINT)を利用して「攻撃者にとって対象組織はどう見えているか」を調査・報告するサービスです。
報告書提出まで最短7営業日。高品質の脆弱性診断を短納期・診断日数に応じた固定料金でご提供します。
定期的な脆弱性診断により、その時点でのリスクを最小化することは極めて重要ですが、次の脆弱性診断までの間に発生する外的変化にできるだけ早く気づき、いち早く対応することも忘れてはなりません。
BBSecでは、インターネット越しに高頻度で気軽に実施可能な自動診断ツールを脆弱性診断保守向けに提供しております。Webアプリケーション、ネットワーク、ソースコードに対する簡易診断ツール、Webサイトの改ざんをチェックするツールにより、お客様のリスク軽減を支援します。
| 最新のセキュリティ情報に基づく 脆弱性診断 |
世界的なセキュリティ基準をベースにBBSecの独自基準を設けることで、信頼性の高い最新のセキュリティ情報をもとにした脆弱性診断を行っています。 |
|---|---|
| 優れたユーザインターフェース | 簡単な設定や操作は、常時使うツールに求められる隠れた重要要素です。長年の経験をもとに利用者の利便性を最大限考慮し、ツールを整備しました。 |
| わかりやすいレポート機能 | 自動脆弱性診断では、発見された脆弱性を緊急度毎に色分けし、グラフで毎日報告。新しい攻撃パターンが発見された時の影響や対策実施後の効果などが一目でわかります。コンテンツ改ざん検知では、検査周期毎に検査結果メールを配信します。 |
| 簡単ですぐに使用可能 | インターネット越しに指定の頻度で診断や検査を実施するだけ。お客様のシステムの設定変更や新たな設備投資は不要です。 |
デイリー自動脆弱性診断
Cracker Probing-EyesⓇ
インターネット越しにお客様サイトの脆弱性をチェックする、自動診断ツールです。
WEBサイトコンテンツ改ざん検知
Cracker Probing-EyesⓇ Detect
インターネットを介してお客様のWebサイトコンテンツの改ざん・埋め込みを診断する自動ツールです。
ソースコード自動診断
Cracker Probing-EyesⓇ Core
アプリケーションのソースコードをアップロードするだけで、ソースコードの脆弱性と 品質の診断を行えるSaaS型品質分析自動ツールです。
