弊社代表小笠貴晴がペネトレーションテスターの上級資格であるGIAC GXPN(GIAC Certified Exploit Researcher and Advanced Penetration Tester)の認定を受けました。

 

一般の評価や難易度、実用度を一般公募の意見で議論し毎年更新されている2020年11月版のPaul Jerimy MediaのSecurity Certification RoadmapにおいてOffensive Operationの上位に位置する資格となります。

ペネトレーションテストの資格GXPNのロードマップ図
ペネトレーションテストの資格のロードマップ図

出典:https://pauljerimy.com/security-certification-roadmap/

 

OSINT分野の専門家オスカー オレリャーナが弊社ペンテスターとして加わりました。

オレリャーナはスペインマドリッドIMFのサイバーセキュリティ修士であり、OWASP Latam他多数のサイバーセキュリティカンファレンスにてOSINTのトピックを中心に登壇するなど活躍しております。また、エンタープライズ環境におけるOSINTを活用した調査等の経験が豊富です。

弊社としてもOSINTの重要性はここ数年特に着目しており、今後は弊社のペネトレーションテストに積極的にOSINTを取り入れ、より現実環境に近い形でのテストを提供いたします。

2020年1月28日に宮城県警の感謝状贈呈式へ出席いたしました。
捜査官の皆様を対象にサイバー攻撃者の技術であるOSINTの講習を行い、サイバー犯罪対処能力の向上とサイバー空間の治安維持の貢献を評価され、弊社代表が感謝状を頂くこととなりました。

弊社代表が国立研究開発法人情報通信研究機構(NICT)のSecHack365に登壇させていただきました。
先端の技術者を育てるというとても意義のあるイベントで参加の皆さんも熱心でとてもいい経験になりました。ありがとうございました。

SecHack365のレポート記事

https://sechack365.nict.go.jp/report/2019/report04.html

業務拡大に伴いリードペンテスターとして武者英敏 (CISSP, GPEN)さんが加わりました。

リードペンテスターページへ

武者さんは20年以上のセキュリティ業界での経験があり、プラットフォーム診断分野で多数の実績のあるペネトレーションテスターです。また、講師経験も多数ありお客様目線でのコンサルティングを得意としております。

今後ともセキュリティイニシアティブをよろしくお願いいたします。

弊社ではセキュリティマネジメント監査サービスの提供を開始いたしました。

金融機関等の豊富な監査実績のある監査人により、マネジメントの観点からサイバーセキュリティに関する施策を総合的かつ効果的に推進するため、対策強化のための自律的かつ継続的な改善機構であるPDCAサイクルが継続的かつ有効に機能するよう助言し、対策の効果的な強化を図ります。

また、マネジメント監査といえどもITセキュリティ分野ではセキュリティエンジニアの知見も重要です。弊社のセキュリティマネジメント監査には攻撃者としての知見を持つホワイトハッカーも同席し、弊社の強みである攻撃者視点を交えた実践的な監査を行います。

弊社の脅威ベースのペネトレーションテストは、事前に脆弱性診断と監査人によるマネジメント監査で組織体制を含めた全体網羅型の事前調査をしっかりと行いスコープを決定しております。これを現実の攻撃者と同じ視点で行います。

お客様のビジネスそのものを理解しないままに実行するテストはビジネスリスクコントロールという目的に対して不確実であり投入コストに見合わない非効率なプロジェクトいう結果になるからです。

脆弱性診断に関しても、専門家によるスコープ決定をおすすめしております。限られたコストでクリティカルな部分に対してリソースを注力し、その他の部分はコスト重視といったハイブリッドなアプローチを行います。

スコープ決定プロセスはセールス担当ではなく、ホワイトハッカーにより実施します。専門家としての知見を惜しみなく提供するため別料金を頂いておりますが、その決定プロセスに気づきがあるとこれまで好評頂いております。

弊社サービスのペネトレーションテストを「脅威ベースのペネトレーションテスト」と名称を改めました。
https://security-initiative.co.jp/?cat=16

内容はこれまでと変わりませんが、脆弱性診断、ペネトレーションテスト、レッドチームと混乱してきた国内での言葉の定義がようやくこの「脅威ベースのペネトレーションテスト」という言葉の普及により弊社が提供してきたペネトレーションテストと一致することとなり、サービス名もそれに合わせることにしました。

従来の脆弱性診断との大きな違いは、脆弱性診断がシステム主体の汎用的な全体網羅型であることに対し、弊社のペネトレーションテストが個別のビジネス主体のリスクベース型であることです。セキュリティ技術者とマネージメント監査人が同じプロジェクトで組織のセキュリティ向上という同じ目的をもって協働することでシステム上のセキュリティだけではなく組織としてのセキュリティ向上を支援します。

弊社のペネトレーションテストは全体網羅型の脆弱性診断を取り入れた事前調査を行い、リスクベースの脅威モデリングから決定した攻撃シナリオに沿った形でペネトレーションテストを実行します。また、テスト後はビジネスリスク分析と対策実施支援とプロジェクトの有効性分析を行います。複数回のプロジェクトとして実行することでさらに効果を高めます。そのため、他社の同等のサービスよりも1/2~1/3程度の低価格で提供することにいたしました。

もちろん、セキュリティ向上策の第一歩として「自組織を知る」ための脆弱性診断もお客様のニーズに合わせて行っております。弊社コンサルタントにご相談ください。