最新情報

WEBアプリケーション脆弱性診断のサービス内容及び料金を見直し、サーバーサイド診断も含めフルスタックでの診断といたしました。

WEBアプリケーション脆弱性診断ページへ

弊社のWEB脆弱性診断サービスをグローバルに認知されるアプリケーションセキュリティ基準のOWASP ASVS 4.0に対応いたしました。基準を満たしていることが確認できた場合、報告書と共に弊社よりASVS準拠の証明書を発行いたします。

単に脆弱性診断を実施したという事実だけではなく、グローバル資格を持つ第三者の脆弱性診断専門家が一定の基準を満たしていることを証明するものですので、サービス品質をアピールする等ビジネス上の効果も期待できます。

また、アジャイル開発において開発フレームワークに組み込み継続的にセキュリティ品質を保つためのコンサルティングも行っております。

詳細はお問い合わせください。

※OWASP Foundationは当基準を検討・発行・配布を行っているだけであり、いかなる場合もOWASP Foundationがセキュリティ品質を証明することは規定により認められておりません。第三者専門家により基準を満たしていることを証明するものとなります。そのため、準拠の根拠となる報告書も添付し証明するものとしております。

WEBアプリケーション脆弱性診断ページへ

2019年6月26日(水)開催のOWASP SendaiチャプターミーティングにてOWASP(Open Web Application Security Project)のアプリケーション基準であるOWASP ASVS 4.0について概要をお話しします。またASVSの中でのペンテストの役割や手法、スレットモデリングについてもお話ししたいと思います。

参加は無料です。イベント参加はこちらからお申し込みください。https://owaspsendai.connpass.com/event/132635/

７月８日から開催されるSANS Cyber Defense JapanのSEC504コースの一部を担当して登壇いたします。

SANSのコースは普段は第一線で活躍するセキュリティのプロフェッショナルが登壇し、コースマテリアルだけではなく現実の経験等をお話しする非常に価値の高いコースです。

日本語での登壇というアドバンテージを活かして、ペネトレーションテスターとしての日常の経験も交えながら濃いめの内容でお話ししたいと思います。

https://sans-japan.jp/cyber_defence_japan2019/sec504.html

弊社では専門家（もしくは攻撃者思想を持つ専門家）不在であらかじめ決定されたような狭いスコープに対して診断しその結果を報告書として提出して終わりという「診断」は基本的にお勧めしておりません。そのため下記の段階を経たコンサルティングをお勧めしております。すべてのコンサルティングは攻撃手法を熟知したエンジニアが実際に社内のネットワーク上で手を動かして実際のデータを元に実行いたします。

しっかりとお客様となる企業のサービスや商品、その業務プロセス、どこにどのような形でその重要な資産があるのかを把握し、限られたリソース（コスト・時間・人）をどこにどれだけどれくらいの期間をかけて割り振るべきなのかを判断、その対象（スコープ）を攻撃者である専門家の目によってご提案いたします。そのため脆弱性診断は全体を把握するプロセスのほんの一部という位置づけになっております。

企業のサービスや商品、情報資産を守るためには総合的、長期的な対策が必要です。そのため、弊社としては下記の段階を経て強靭なリスクマネージメントの足場づくりに向けてコンサルティングいたします。

１． システムや業務プロセスの把握
システムの脆弱性だけではなく、社内全体（もしくはその一部）の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

２． 全体を網羅する脆弱性診断
システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

３． １～２を元にビジネス上の脆弱なポイント、攻撃面の洗い出し。
机上でどこに脆弱なポイントがあるのか、攻撃面はどこなのかを検討します。

４． 攻撃者模倣したペネトレーションテスト
この段階になると１～３によりほぼ社内の状況が把握できている状態となります。
これを元に弊社ペンテスターが攻撃者としてふるまい実際の攻撃を行います。ペネトレーションテストの際には攻撃者の立ち位置、成功要件を定めます。立ち位置は例えば社内ネットワーク内の権限をもつユーザーであるとか、サービス利用者といったものです。成功要件は、攻撃者にとっての成功要件です。管理者権限への昇格や重要データの収集、外部への持ち出しといった具体的な要件を決定します。この立ち位置や、成功要件、スコープは１～３を元に割り出します。

５． 実行した攻撃のフォレンジック調査
４で実行した攻撃を元にフォレンジック調査を行い、実際にその攻撃が防御システムや検知システム、ログなどに正しく検出されているかどうかを確認いたします。また、高価なセキュリティプロダクトを使用しなくても既存のOS等で対策が取れる部分をしっかりと洗い出します。

６． 総合的な会社組織としての脆弱性の洗い出しと対策プラン
総合的にどのような対策や経営方針でリスクをマネージメントするか短期的・長期的な対策プランを策定いたします。

７． ６で策定した対策プランを実行する上でのコンサルティング
随時、質問にお答えしたりや実施状況の確認等を行いお客様をサポートいたします。またインシデント発生時の対応もそれまでのテストにより社内を知り尽くしたコンサルタントにより行います。

５月２０日、弊社代表が宮城県警察本部にて捜査官を対象としたセキュリティ講習会で「OSINT」について登壇いたしました。

OSINT(Open Source INTelligence)はペンテスターとしても偵察段階で使用するスキルです。

捜査官のみなさまに捜査の情報収集として即活かしていただけるようハンズオン実技を交えた実践的な内容でしたが「大変勉強になった」という感想をいただき嬉しく思います。これまで培ってきたペンテスターとしての技術で地元に貢献できれば幸いです 。

5月8日に東京都内のITコーディネータ協会にてサイバー攻撃対策研修の講師として登壇いたしました。
参加の皆様には実際にお持ちのPCを使用して実践を交えて体験していただきました。

今年度はあと2回、7/25(木)と12/4(水)を予定しております。
こちらのITコーディネータ協会のWEBサイトからお申込みいただけます。
https://www.itc.or.jp/foritc/seminar/security.html

株式会社セキュリティイニシアティブはOWASP Sendaiチャプターのゴールドチャプターサポーターです。 グローバルコミュニティのOWASPを通してアプリケーションセキュリティに貢献いたします。

https://www.owasp.org/index.php/Sendai

3月15日は東京銀座にてNBIコンサルティング様と共催したOSINT講習会の講師として登壇いたしました。

当講習の対象は経営者やマーケティング担当者を想定していましたが、セキュリティ担当の方ばかりでしたので急遽レベルを少し上げて様々なツールのデモやペンテスターとしての経験を交えての開催と変更いたしました。

参加者の皆様からのフィードバックも好評で嬉しく思います。今後も定期的に開催する予定ですのでよろしくお願いいたします。

2018年10月10日にポーランドのワルシャワで開催されたアプリケーションセキュリティのカンファレンス、OWASP Poland Day 2018にて弊社代表がスピーカーとして登壇いたしました。

タイトル「Push Left and Beyond, Building Practical Skills for Fixing Vulnerabilities with OWASP A&D Project 」
https://owaspday.pl/