最新情報

弊社代表が国立研究開発法人情報通信研究機構（NICT）のSecHack365に登壇させていただきました。
先端の技術者を育てるというとても意義のあるイベントで参加の皆さんも熱心でとてもいい経験になりました。ありがとうございました。

SecHack365のレポート記事

https://sechack365.nict.go.jp/report/2019/report04.html

業務拡大に伴いリードペンテスターとして武者英敏 (CISSP, GPEN)さんが加わりました。

リードペンテスターページへ

武者さんは20年以上のセキュリティ業界での経験があり、プラットフォーム診断分野で多数の実績のあるペネトレーションテスターです。また、講師経験も多数ありお客様目線でのコンサルティングを得意としております。

今後ともセキュリティイニシアティブをよろしくお願いいたします。

弊社ではセキュリティマネジメント監査サービスの提供を開始いたしました。

金融機関等の豊富な監査実績のある監査人により、マネジメントの観点からサイバーセキュリティに関する施策を総合的かつ効果的に推進するため、対策強化のための自律的かつ継続的な改善機構であるPDCAサイクルが継続的かつ有効に機能するよう助言し、対策の効果的な強化を図ります。

また、マネジメント監査といえどもITセキュリティ分野ではセキュリティエンジニアの知見も重要です。弊社のセキュリティマネジメント監査には攻撃者としての知見を持つホワイトハッカーも同席し、弊社の強みである攻撃者視点を交えた実践的な監査を行います。

弊社の脅威ベースのペネトレーションテストは、事前に脆弱性診断と監査人によるマネジメント監査で組織体制を含めた全体網羅型の事前調査をしっかりと行いスコープを決定しております。これを現実の攻撃者と同じ視点で行います。

お客様のビジネスそのものを理解しないままに実行するテストはビジネスリスクコントロールという目的に対して不確実であり投入コストに見合わない非効率なプロジェクトいう結果になるからです。

脆弱性診断に関しても、専門家によるスコープ決定をおすすめしております。限られたコストでクリティカルな部分に対してリソースを注力し、その他の部分はコスト重視といったハイブリッドなアプローチを行います。

スコープ決定プロセスはセールス担当ではなく、ホワイトハッカーにより実施します。専門家としての知見を惜しみなく提供するため別料金を頂いておりますが、その決定プロセスに気づきがあるとこれまで好評頂いております。

弊社サービスのペネトレーションテストを「脅威ベースのペネトレーションテスト」と名称を改めました。
https://security-initiative.co.jp/?cat=16

内容はこれまでと変わりませんが、脆弱性診断、ペネトレーションテスト、レッドチームと混乱してきた国内での言葉の定義がようやくこの「脅威ベースのペネトレーションテスト」という言葉の普及により弊社が提供してきたペネトレーションテストと一致することとなり、サービス名もそれに合わせることにしました。

従来の脆弱性診断との大きな違いは、脆弱性診断がシステム主体の汎用的な全体網羅型であることに対し、弊社のペネトレーションテストが個別のビジネス主体のリスクベース型であることです。セキュリティ技術者とマネージメント監査人が同じプロジェクトで組織のセキュリティ向上という同じ目的をもって協働することでシステム上のセキュリティだけではなく組織としてのセキュリティ向上を支援します。

弊社のペネトレーションテストは全体網羅型の脆弱性診断を取り入れた事前調査を行い、リスクベースの脅威モデリングから決定した攻撃シナリオに沿った形でペネトレーションテストを実行します。また、テスト後はビジネスリスク分析と対策実施支援とプロジェクトの有効性分析を行います。複数回のプロジェクトとして実行することでさらに効果を高めます。そのため、他社の同等のサービスよりも1/2～1/3程度の低価格で提供することにいたしました。

もちろん、セキュリティ向上策の第一歩として「自組織を知る」ための脆弱性診断もお客様のニーズに合わせて行っております。弊社コンサルタントにご相談ください。