2019.07.17 セキュリティマネジメント監査サービスを開始しました

弊社ではセキュリティマネジメント監査サービスの提供を開始いたしました。

金融機関等の豊富な監査実績のある監査人により、マネジメントの観点からサイバーセキュリティに関する施策を総合的かつ効果的に推進するため、対策強化のための自律的かつ継続的な改善機構であるPDCAサイクルが継続的かつ有効に機能するよう助言し、対策の効果的な強化を図ります。

また、マネジメント監査といえどもITセキュリティ分野ではセキュリティエンジニアの知見も重要です。弊社のセキュリティマネジメント監査には攻撃者としての知見を持つホワイトハッカーも同席し、弊社の強みである攻撃者視点を交えた実践的な監査を行います。

 

2019.07.05 弊社のペネトレーションテストと脆弱性診断のスコープ決定プロセスについて

弊社の脅威ベースのペネトレーションテストは、事前に脆弱性診断と監査人によるマネジメント監査で組織体制を含めた全体網羅型の事前調査をしっかりと行いスコープを決定しております。これを現実の攻撃者と同じ視点で行います。

お客様のビジネスそのものを理解しないままに実行するテストはビジネスリスクコントロールという目的に対して不確実であり投入コストに見合わない非効率なプロジェクトいう結果になるからです。

脆弱性診断に関しても、専門家によるスコープ決定をおすすめしております。限られたコストでクリティカルな部分に対してリソースを注力し、その他の部分はコスト重視といったハイブリッドなアプローチを行います。

スコープ決定プロセスはセールス担当ではなく、ホワイトハッカーにより実施します。専門家としての知見を惜しみなく提供するため別料金を頂いておりますが、その決定プロセスに気づきがあるとこれまで好評頂いております。

 

2019.06.26 弊社サービスのペネトレーションテストを「脅威ベースのペネトレーションテスト」と名称を改めました

弊社サービスのペネトレーションテストを「脅威ベースのペネトレーションテスト」と名称を改めました。
https://security-initiative.co.jp/?cat=16

内容はこれまでと変わりませんが、脆弱性診断、ペネトレーションテスト、レッドチームと混乱してきた国内での言葉の定義がようやくこの「脅威ベースのペネトレーションテスト」という言葉の普及により弊社が提供してきたペネトレーションテストと一致することとなり、サービス名もそれに合わせることにしました。

従来の脆弱性診断との大きな違いは、脆弱性診断がシステム主体の汎用的な全体網羅型であることに対し、弊社のペネトレーションテストが個別のビジネス主体のリスクベース型であることです。セキュリティ技術者とマネージメント監査人が同じプロジェクトで組織のセキュリティ向上という同じ目的をもって協働することでシステム上のセキュリティだけではなく組織としてのセキュリティ向上を支援します。

弊社のペネトレーションテストは全体網羅型の脆弱性診断を取り入れた事前調査を行い、リスクベースの脅威モデリングから決定した攻撃シナリオに沿った形でペネトレーションテストを実行します。また、テスト後はビジネスリスク分析と対策実施支援とプロジェクトの有効性分析を行います。複数回のプロジェクトとして実行することでさらに効果を高めます。そのため、他社の同等のサービスよりも1/2~1/3程度の低価格で提供することにいたしました。

もちろん、セキュリティ向上策の第一歩として「自組織を知る」ための脆弱性診断もお客様のニーズに合わせて行っております。弊社コンサルタントにご相談ください。

 

2019.06.21 WEBアプリケーション脆弱性診断をフルスタックでの診断とし料金改定しました

WEBアプリケーション脆弱性診断のサービス内容及び料金を見直し、サーバーサイド診断も含めフルスタックでの診断といたしました。

WEBアプリケーション脆弱性診断ページへ

 

2019.06.13 WEBアプリケーション脆弱性診断をOWASP ASVS 4.0に対応しました

弊社のWEB脆弱性診断サービスをグローバルに認知されるアプリケーションセキュリティ基準のOWASP ASVS 4.0に対応いたしました。基準を満たしていることが確認できた場合、報告書と共に弊社よりASVS準拠の証明書を発行いたします。

単に脆弱性診断を実施したという事実だけではなく、グローバル資格を持つ第三者の脆弱性診断専門家が一定の基準を満たしていることを証明するものですので、サービス品質をアピールする等ビジネス上の効果も期待できます。

また、アジャイル開発において開発フレームワークに組み込み継続的にセキュリティ品質を保つためのコンサルティングも行っております。

詳細はお問い合わせください。

※OWASP Foundationは当基準を検討・発行・配布を行っているだけであり、いかなる場合もOWASP Foundationがセキュリティ品質を証明することは規定により認められておりません。第三者専門家により基準を満たしていることを証明するものとなります。そのため、準拠の根拠となる報告書も添付し証明するものとしております。

https://security-initiative.co.jp/?cat=30

 

2019.06.04 6/26のOWASP SendaiにOWASP ASVS 4.0について登壇いたします

2019年6月26日(水)開催のOWASP SendaiチャプターミーティングにてOWASP(Open Web Application Security Project)のアプリケーション基準であるOWASP ASVS 4.0について概要をお話しします。またASVSの中でのペンテストの役割や手法、スレットモデリングについてもお話ししたいと思います。

参加は無料です。イベント参加はこちらからお申し込みください。https://owaspsendai.connpass.com/event/132635/

 

2019.05.22 SANS Cyber Defense JapanのSEC504に登壇いたします

7月8日から開催されるSANS Cyber Defense JapanのSEC504コースの一部を担当して登壇いたします。

SANSのコースは普段は第一線で活躍するセキュリティのプロフェッショナルが登壇し、コースマテリアルだけではなく現実の経験等をお話しする非常に価値の高いコースです。

日本語での登壇というアドバンテージを活かして、ペネトレーションテスターとしての日常の経験も交えながら濃いめの内容でお話ししたいと思います。

https://sans-japan.jp/cyber_defence_japan2019/sec504.html

 

2019.05.22 セキュリティイニシアティブのペネトレーションテストについて

弊社では専門家(もしくは攻撃者思想を持つ専門家)不在であらかじめ決定されたような狭いスコープに対して診断しその結果を報告書として提出して終わりという「診断」は基本的にお勧めしておりません。そのため下記の段階を経たコンサルティングをお勧めしております。すべてのコンサルティングは攻撃手法を熟知したエンジニアが実際に社内のネットワーク上で手を動かして実際のデータを元に実行いたします。

しっかりとお客様となる企業のサービスや商品、その業務プロセス、どこにどのような形でその重要な資産があるのかを把握し、限られたリソース(コスト・時間・人)をどこにどれだけどれくらいの期間をかけて割り振るべきなのかを判断、その対象(スコープ)を攻撃者である専門家の目によってご提案いたします。そのため脆弱性診断は全体を把握するプロセスのほんの一部という位置づけになっております。

企業のサービスや商品、情報資産を守るためには総合的、長期的な対策が必要です。そのため、弊社としては下記の段階を経て強靭なリスクマネージメントの足場づくりに向けてコンサルティングいたします。

1. システムや業務プロセスの把握
システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

2. 全体を網羅する脆弱性診断
システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

3. 1~2を元にビジネス上の脆弱なポイント、攻撃面の洗い出し。
机上でどこに脆弱なポイントがあるのか、攻撃面はどこなのかを検討します。

4. 攻撃者模倣したペネトレーションテスト
この段階になると1~3によりほぼ社内の状況が把握できている状態となります。
これを元に弊社ペンテスターが攻撃者としてふるまい実際の攻撃を行います。ペネトレーションテストの際には攻撃者の立ち位置、成功要件を定めます。立ち位置は例えば社内ネットワーク内の権限をもつユーザーであるとか、サービス利用者といったものです。成功要件は、攻撃者にとっての成功要件です。管理者権限への昇格や重要データの収集、外部への持ち出しといった具体的な要件を決定します。この立ち位置や、成功要件、スコープは1~3を元に割り出します。

5. 実行した攻撃のフォレンジック調査
4で実行した攻撃を元にフォレンジック調査を行い、実際にその攻撃が防御システムや検知システム、ログなどに正しく検出されているかどうかを確認いたします。また、高価なセキュリティプロダクトを使用しなくても既存のOS等で対策が取れる部分をしっかりと洗い出します。

6. 総合的な会社組織としての脆弱性の洗い出しと対策プラン
総合的にどのような対策や経営方針でリスクをマネージメントするか短期的・長期的な対策プランを策定いたします。

7. 6で策定した対策プランを実行する上でのコンサルティング
随時、質問にお答えしたりや実施状況の確認等を行いお客様をサポートいたします。またインシデント発生時の対応もそれまでのテストにより社内を知り尽くしたコンサルタントにより行います。

 

2019.05.20 宮城県警察本部にて講師として登壇いたしました

5月20日、弊社代表が宮城県警察本部にて捜査官を対象としたセキュリティ講習会で「OSINT」について登壇いたしました。

OSINT(Open Source INTelligence)はペンテスターとしても偵察段階で使用するスキルです。

捜査官のみなさまに捜査の情報収集として即活かしていただけるようハンズオン実技を交えた実践的な内容でしたが「大変勉強になった」という感想をいただき嬉しく思います。これまで培ってきたペンテスターとしての技術で地元に貢献できれば幸いです 。

 

2019.05.08 東京都内ITコーディネータ協会にてサイバー攻撃対策研修の講師として登壇いたしました

5月8日に東京都内のITコーディネータ協会にてサイバー攻撃対策研修の講師として登壇いたしました。
参加の皆様には実際にお持ちのPCを使用して実践を交えて体験していただきました。

今年度はあと2回、7/25(木)と12/4(水)を予定しております。
こちらのITコーディネータ協会のWEBサイトからお申込みいただけます。
https://www.itc.or.jp/foritc/seminar/security.html