- GMOグローバルサイン
- 脆弱性診断・ペネトレーションテスト
世界トップレベルのセキュリティエンジニアによる脆弱性診断サービス
GMOサイバーセキュリティbyイエラエ(以下、イエラエ)は、国内トップクラスのホワイトハッカーが多数在籍する、サイバーセキュリティ企業です。セキュリティコンテストで世界No.1の実績を持つホワイトハッカー集団は、7,500件以上の診断実績を持ちます。
脆弱性診断とはWebアプリケーション、スマホアプリ、ソフトウェア、クラウドプラットフォームなどに潜む情報セキュリティ上の欠陥や弱点を発見し、そのリスクや影響を評価するサービスです。会社のシステムやソフトウェアなどには、ソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など様々な原因により脆弱性は生じます。サイバー攻撃が巧妙化する昨今では、セキュリティ強化のため欠かせないものになっています。
攻撃手法に関する豊富な知識と最先端の技術を持つホワイトハッカーが仮想敵となり、Webサービスやアプリケーションにおけるセキュリティ上の問題を可視化し、セキュリティ対策への助言を行うことで不安を解消します。
ハッカーの攻撃手法を熟知したセキュリティエンジニアが高度な診断技術と経験を元に、マニュアル化された診断項目ではなくホワイトハッカー視点で診断を実施できるのが強みです。
脆弱性診断
Webアプリケーション診断
高度な知見を持つセキュリティエンジニアが攻撃者目線で疑似攻撃を行うことで脆弱性を調査し、セキュリティリスクを排除できるよう技術支援を行います。経験豊富なエンジニアの手動診断により、一般的な脆弱性スキャナーでは発見できない脆弱性まで見つけ出すことが可能です。
-
おまかせ
手間/時間/コストを抑え
リスク対策したい方向け・ツール診断
見積もり単位
・マニュアル診断
サイト -
ライト
コスパよくガイドラインに
準拠した診断をしたい方向け・ツール診断
見積もり単位
・マニュアル診断
・ヒアリングシートでの問診リクエスト -
おすすめ
スタンダード
サイトの特性にあわせて
リスク対策したい方向け・ツール診断
見積もり単位
・マニュアル診断
リクエスト -
プレミアム
ソースコードまで徹底的に
診断したい方向け・ツール診断
見積もり単位
・マニュアル診断
・ソースコード診断リクエスト
+ソースコード診断費用
※リクエスト(API)
通常のウェブページから別のウェブページへの移動ではなく、サイト内検索、動的遷移など、別ページへの遷移時にパラメータなど情報を送信しているクリックが対象(GET/POST等)。実際のお見積り時にクローリングしてリクエスト数を算出致します。
このような方におすすめ
オンラインサービスや個人情報を安全に管理する必要がある組織、さらにはセキュリティ基準が厳格に要求される業界に所属する企業や、金融・決済システムのソースコードまで徹底的に診断したいといったお客様におすすめです。
クラウド診断
AWS/Google Cloud/Google Workspace/Azure/Salesforce/Microsoft 365を対象として、クラウドの設定不備やクラウド上に構築されたアプリケーションの安全性について、攻撃者目線で評価を行います。自社だけでは安全に構築・運用する難易度が高いクラウドサービスの脆弱性まで見つけ出すことが可能です。
-
対象クラウドサービス
ライトプラン
・Amazon AWS
診断手法
・Google Cloud
・Microsoft Azure・ツール診断
プラン概要
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・未パッチやサポート切れのOSやサービスのスキャン
・CISベンチマーク基準の認定スキャン -
対象クラウドサービス
フルプラン
・Amazon AWS
診断手法
・Google Cloud
・Microsoft Azure・ツール診断+エンジニアによるマニュアル診断
プラン概要・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・未パッチやサポート切れのOSやサービスのスキャン
・CISベンチマーク基準の認定スキャン
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断 -
対象クラウドサービス
Salesforce
・Salesforce
診断手法
・マニュアル診断
プラン概要
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
・フロー解析
・Apex/Visualforceソースコード診断(オプション) -
対象クラウドサービス
GoogleWorkSpace
Microsoft 365・Google Workspace
診断手法
・Microsoft 365
・マニュアル診断
プラン概要
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
・フロー解析
・Apex/Visualforceソースコード診断(オプション)
このような方におすすめ
個人情報や金融情報などの重要な情報を扱うサービスにおすすめです。
その他の診断
スマホアプリ診断
(iOS/Android)
ネットワーク診断
(プラットフォーム診断)
NFT・ブロックチェーン診断
AIセキュリティ診断 for GPT
デスクトップアプリ診断
ペネトレーションテスト
予め攻撃シナリオを定義し、攻撃者の目的が達成されるか、脆弱性を悪用される行為が実際に発生するのかを検証する侵入テストです。標的型攻撃対策、社内のシステムや物理環境のセキュリティ対策評価、テレワーク端末やIoTデバイスからの侵入検証など、実際の攻撃者に近い視点で問題点を発見するため、定期診断とは別のアプローチで診断が可能です。
社内ネットワーク
ぺネトレーションテスト
企業内インフラ環境
Web
ぺネトレーションテスト
Webサービス全般(シナリオ型または調査型)
IoT
ぺネトレーションテスト
IoTデバイスまたはIoTシステム(サービス)
ゲームチート対策
ぺネトレーションテスト
ソースコードまたはゲームアプリケーション
レッドチーム演習
社内ネットワークや特定サービスが稼働する環境
万全の対策を実現するためのセキュリティ向上
-
Step1
・網羅的な脆弱性の洗い出し
脆弱性診断
・広く知られている一般的な脆弱性を修正 Step2
・脆弱性診断では見つけられない脆弱性の洗い出し
ペネトレーションテスト
・特定の脅威に対して対策の有効性を評価
・ゼロトラスト実装後の防御検証Step3
・ガバナンス評価
レッドチーム演習
・インシデント対応評価
・セキュリティ製品の検知状況評価
・ログ取得状況評価
セキュリティ診断の選び方
| お客様のご要望 | Webサイト向け | スマホアプリ向け | クラウド上で構築されたシステム向け |
|---|---|---|---|
| サービスリリースに間に合うように脆弱性診断を行いたい | Webアプリケーション診断 | スマホアプリ診断 | クラウド診断 |
| クライアントから第三者診断を求められ、予算を絞って依頼したい | Webアプリケーション診断(おまかせ/ライト) | ||
| 自社開発サービスの重要情報の保有量が増えてきて心配 | Webペネトレーションテスト(調査型) | ||
| 定期診断は行っているが、別のアプローチでも診断したい | Webペネトレーションテスト(シナリオ型) | ||
脅威
- 不正アクセス
- 不正操作
- 改ざん
- 情報漏洩
- システムダウン
攻撃手法を熟知したホワイトハッカー集団が診断することで 脆弱性も検出し、リスクを評価
よくあるご質問
-
- Webアプリケーション診断とWebペネトレーションテストの違いは?
- Webアプリケーション診断を定期的に実施している上で、万が一の脆弱性が事業停止に直結するようなお客様、セキュリティ感度の高いお客様がWebペネトレーションテストも希望されることが多いです。Webペネトレーションテストの場合はソースコードのご提供が必須となり、指摘事項としても一般的なWeb脆弱性だけでなく、パスワード保存方法の不備や、API連携箇所で発生するロジックの不備なども対象となっています。システムの脆弱性を調査する脆弱性診断に比べると、システムだけでなく運用方法など複数の問題を組み合わせて調査し、特定の目的が達成できるかのリスクを分析・調査するのがペネトレーションテストになります。
-
- 社内ネットワークペネトレーションテストは何をテストしますか?
- 例えば、悪意のある第三者からの攻撃だけでなく、人的ミスで従業員がマルウェア感染してしまったことを想定し、その場合に内部ネットワークに侵入できるかのテストとなります。
-
- 定期的に脆弱性を実施しているのですが、他社の診断とは何が違うのですか?
- 業界規定のガイドラインやマニュアルの診断項目ではなく、GMOサイバーセキュリティbyイエラエのオリジナル診断は充実度が違います。他社の診断では可視化されなかった脆弱性を発見することも多く、逆にイエラエで何も見つからなければ安心、というセカンドオピニオン的なご利用をされるお客様もいます。
-
- 自社の対策が十分なのか、攻撃を受けたらどうなるか、脅威にどれほど抵抗できるかなどのイメージがついていない場合は?
- 実施後は報告書の提供だけに留まらず、報告会で詳細説明、具体的な対策などもご説明いたします。これにより自社のセキュリティ対策を見直すことができるだけでなく、脆弱性によるリスクから起きうる事故などを想定できるため、社内のセキュリティに関する意識や感度が高まることが多いです。