自社のネットワークインフラや、開発中のWEBアプリケーションについての脆弱性診断はこの数年で広く浸透してきたと言えます。
しかしながら、外部の専門企業に脆弱性診断を委託する場合、限られた予算の範囲内で実施する必要があるため、対象の一部のみに診断対象を絞るあるいは定期的な脆弱性診断の診断スパンを長くして診断回数を減らすなどの必要があります。さらに、開発中のシステム/WEBアプリケーションのリリース前に診断を実施する場合では、開発作業の進捗にあわせて柔軟に診断を実施する事が困難です。
これらの背景から、脆弱性診断の実施を内製化したいというニーズは増加しているものの、実際には脆弱性診断の専門外である企業が内製化を実現するにはいくつかの課題があります。
これらの課題を解消し、確実かつ効率的に脆弱性診断の内製化をサポートするのが、TIGER STRADAのサービスです。
TIGER STRADAとは、お客様自身が自社のネットワークインフラやWEBアプリケーションのセキュリティ診断を実施できるようになるために、GSXが提供する「セキュリティ診断内製化支援サービス」です。
GSXが従来提供しているセキュリティ・コンサルタントによる高度なセキュリティ脆弱製診断サービス「タイガーチームサービス」で利用されている脆弱性検査ツールの販売や、それら検査ツールの効果的な利用のトレーニング、検査結果へのアドバイスなどを提供し、セキュリティ脆弱性の内製化を支援します。
ネットワーク脆弱性診断(ペネトレーションテスト)のための脆弱性検査ツールとして、SecureScoutを提供します。
SecureScoutは、ネットワークインフラやネットワークシステムに対して、豊富なテストケースを基に疑似攻撃を行い、セキュリティホールの有無と内容を明らかにし、その対策用レポートを自動生成するツールです。
製品特長
■ 対象OSを選ばない診断性能
(Win系/UNIX系にも強い)
■ 5200項目を超える豊富なテストケース(擬似攻撃パターン)
■週に一度のテストケース(擬似攻撃パターン)更新
■ エージェントによる分散型検査で、高速かつ低負荷の診断を実現
■ 日本語のGUI/対策レポート
■ 脆弱性に関する詳細な解説と対策レポート
■ カスタマイズ可能な対策レポート(管理者レポート、要約レポート、技術レポート、ホスト別レポートまで)
■ スケジューリング機能
WEBアプリケーション脆弱性診断のための脆弱性検査ツールとして、Vulnerability EXplorer(VEX)を提供します。
Vulnerability EXplorerは、複雑なWEBアプリケーションに対して、その特性に合わせた検査パターンを設定することで高い検出率を誇る、国産の脆弱性検査ツールです。対策レポートまでを自動生成します。
製品特長
■ 脆弱性検出率が高い(検査対象の特性に合わせた検査設定が可能)
■ 検査効率が高い(検査工程におけるアプリケーションの挙動から動的に検査項目を生成可能)
■ 日本語のコンソール、日本語のレポート。純国産製
■ 目的別カスタマイズ可能なレポート(検査結果確認のための詳細レポート(Word)、検査実施状況を確認するためのチェックリスト(Excel)など)
■ 脆弱性に関する詳細な解説と対策レポート
■ 携帯サイト向け診断が可能
■ 検出された脆弱性以外の検査結果もすべてレポート
(開発を行ったWEBアプリケーションの依頼元への結果報告に特に有用です)
サービス概要
専門コンサルタントが検査ツールの導入教育や、検査結果の分析サポートなど、お客様の脆弱性診断の内製化をサポートします。
サービス特長
TIGER STRADAで提供している検査ツールは、GSXがタイガーチームサービスで実際に使用している検査ツールです。実際の脆弱性診断で使用する中で得た、豊富な経験・ノウハウに基づき、専門コンサルタントがサポートします。
サービス例
■ 運用設計 / 体制整備支援
検査実施サイクルをはじめとした運用設計および体制整備を支援します。
■ 検査ツール導入教育
サンプルアプリケーションなどを用いて、実際の検査手法や技法をトレーニングします。
■ ツール設定支援
検査対象に適した検査項目/アクセスパラメータ設定などを支援します。
■ 検査結果の分析サポート
誤報の排除、改修/改善策の詳細提案など、結果分析を支援します。
■ ガイドライン作成・改善支援
開発担当者/開発委託業者にむけたWEBアプリ開発・改修に伴うセキュリティ要件の確立を支援します。
TIGER STRADAの全サービスの中から、お客様の課題に応じた必要なサービスのみを、ご提供することができます。
脆弱性診断の内製化におけるメリット
■ 診断対象の拡大
コストの問題で外部に依頼できなかった診断対象も、内製化により脆弱性診断を実施することができます。セキュリティレベル向上の範囲が拡大します。
■ 診断時期の柔軟化
システム開発作業の進捗にあわせて柔軟に診断の時期を決定することができます。また、運用中のシステムの定期診断においても、より短いスパンで診断が可能になります。(例:年1回実施⇒3ヶ月毎の実施に拡大など)
■ コストダウン
外部委託している診断をすべて内製化する場合には、コストダウンが図れる場合があります。
TIGER STRADAのメリット
■ 正しい検査手法
脆弱性検査ツールを使いこなすための正しい検査手法が取得できます。
■ 検査結果の精度の向上
ツールによる検査結果から精度の高い診断結果や具体的な対策を導き出すノウハウが取得できます。
■ 専門家によるバックアップ
専門性が高い問合せについても、GSXのセキュリティ・コンサルタントのノウハウでご回答します。
■ 短期間での体制構築
検査サイクルや検査対象の選定基準、WEBアプリ開発などのセキュリティ基準など、専門的かつノウハウを必要とするセキュリティ診断の体制構築を短期間に構築できます。
■ 金融機関
■ 証券会社
■ 金融系システム会社
■ SIer
検査ツールだけの販売にも対応していますか。
対応可能です。GSXがベンダーサポートの一次窓口となります。
検査ツールを使いこなす事は、難しいでしょうか。
検査ツールは、検査対象にあわせて正しく検査設定を行うにあたり、一定水準の知識と経験が必要です。また検査結果から具体的な対策方法を導きだすために、これら知識やノウハウが必要な場合があります。TIGER STRADAプロフェッショナルサービスは、お客様の代わりにGSXが、知識・経験・ノウハウなどをご提供します。
検査ツールで検出できない脆弱性もあるのでしょうか?
例えばWEBアプリケーションにおける”なりすまし”の脆弱性などは、検査ツールで検出することができません。こうした脆弱性の検出や高度なセキュリティレベルの実現のためには、GSXの脆弱性検査サービスである”タイガーチームサービス”との併用をお勧めします。
