• 脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。 しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知が発生する場合もあります。 擬似侵入テストは、現実的な脅威を正確に把握するために脆弱性を実際に攻撃することで、ハッカーが現実に悪用可能な脆弱性の潜在的リスクを評価し、注意が必要な脆弱性の優先度を順位付けできるように支援します。 この脆弱性の分析と擬似侵入テストは、並行して行うことにより効率的な検査を行うことができます。
  • 脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。 しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知(false positive)が発生する場合もあります。 特定のフレームワークではなく、ユーザー独自開発アプリケーションの場合にセキュリティ上の深刻な欠陥を検出できません。 また、検査されたネットワークに特化されていないネットワーク要素間との任意の接続も現れず、現実的な脅威かどうかを判断することが難しいので、現実的なハッキングの脅威とは比較されにくい部分があります。

    脆弱性分析は、自動化されたツールが一回につき一つの問題を質疑するので、全体的な流れを把握することができません。侵入テストの場合は専門エンジニアの経験と判断、推論と技術をもとに、自動化ツールと相反する結果を提供します。例えばログインフォームを保護するためのCAPTCHAのようなセキュリティ強化機能を使用している場合、脆弱性分析、スキャナは単純な画像であると判別する一方、侵入テストの場合は、その機能(Function)の脆弱性を検出します。もし、お客様のユーザー名やパスワード、または口座番号がURLパラメータで使用されている場合、セキュリティエンジニアはビジネスロジックを用いてこの脆弱性の対応方法を提出しますが、脆弱性スキャナはお客様のビジネスロジックを用いることができません。

  • C-Secureは最適な情報セキュリティサービスを提供することを目的とします。サービスプロセスとテスト方法論の目標を、セキュリティ投資の効率性に重点を置いております。そのため、十分なコミュニケーションを通じて、顧客に適切な​​方向を示唆しています。一般的な外注コンサルティングと擬似侵入テストは、レポートのみ管理されるだけで脆弱性の履歴管理がないというのが最大の問題であり、誰が担当するかによって、脆弱性の結果が違ってくる場合がほとんどです。このような理由から、C-Secureは脆弱性の履歴管理の重要性を考えており、それを使用して企業は脆弱性の体系的な対応戦略を立て、最終的な目的を達成することができます。

    C-Secureはお客様の大切なお時間を決して無駄にしません。発生した問題にすぐに対応できるように、状況を把握し、シナリオとレポートを作成します。お客様とのコミュニケーションを介して整理されたレポート項目は、問題を解決する方法の詳細(具体的な例と適切なスクリーンショット)を盛り込み、時には複雑なプログラムやコーディングの問題を説明するためのプロトタイプ作品を説明に利用して進行する場合もあります。

    回復に向けたサポートをします。単に脆弱性を報告して修正するのではなく、破損したりして失われたデータや、ハードウェアの回復まで一括してサポートします。

    ほとんどの競合他社は、ネットワークの背景知識をベースにすることに対し、C-Secureはより深みのある侵入テストを実行するので、一定レベルのプログラミング知識も持ち合わせています。そのため、アプリケーションのエラーや脆弱性を見つけることが遥かに容易になります。

    どんなに優れたレポートといっても、お客様にプログラミング知識がない場合、それを理解することはほぼ困難と言えます。C-Secureのレポートは、システム管理者および開発者に加えて、管理者も理解しやすいように作成されています。そのためC-Secureの脆弱性対策ガイドには、脆弱性の説明、処置方法、ダウンロードリンク、所要時間などの脆弱性対策に必要な詳細情報がすべて網羅されています。

  • 擬似侵入テストでの大体の費用は、経験豊富なセキュリティ専門エンジニアの人件費です。C-Secureは総合的な結果を提供することを原則としているので、すべての脆弱性の専門侵入テストチームを活用し、多様な形態のアプローチを通して、脆弱性を検出します。

    アウトソーシングコンサルティングや侵入テストでは、脆弱性の体系的な管理ができません。また、業者によっては自動化されている既存の侵入テストとサービス、または自動検出プログラムに依存したレポートの管理だけで仕上げる業者も存在します。このようにアウトソーシング会社に応じて、内容や品質は大きく変化します。脆弱性の履歴管理がされていない場合、お客様は脆弱性に対する体系的な対応戦略を立てることができません。要するにセキュリティとしての目的が無くなると言えます。しかし、まだ多くのセキュリティ担当者は、低コストの会社にセキュリティエンジニア業務をアウトソーシングしているのが現実と言えます。

    診断を使用して、さまざまな脆弱性や問題点が検出されると、それに応じた準備をする必要があります。時には検査が繰り返されることもありエクスプロイト(Exploit)などの対応項目が増え、コストの上昇につながる可能性もあります。しかし、企業のセキュリティ担当者は、勿論必要な確認項目を選択することができるでしょう。手頃な価格の基本的な項目のみを選択したりしてしまいます。これらの例は、システムのセキュリティに関する不信につながることでしょう。

    C-Secureはテスト規制のコンプライアンス要件を満たすことに重点を置いています。テスト範囲と方法についての詳細を含むレポートを提供して、悪用する可能性がある敏感な項目を選別することができます。企業の目的が「組織を含む総括的なセキュリティの向上」にある場合は、私たちは徹底的にセキュリティの脅威を解決するために努力しネットワーク、システムとアプリケーション層を含むテストを行います。

  • 契約が締結されれば、すぐにスケジューリングを行い、基本的に4~8週間のお時間をいただきます。通常は契約書の作成時に、お客様のスケジュールをお伺いして弊社側で調整します。
  • 擬似侵入テストの期間は、システムのタイプおよびボリューム・環境によって異なりますが、一般的には1~3週間の期間に基づいて行われます。
    • Webアプリケーションのセキュリティ脆弱性チェックと対策のための修正報告およびセキュリティ/コーディングガイドラインのサポート
    • すべてのオペレーティングシステムで動作するWebサーバーとベース技術(ASP、PHP、AJAX、NETなど)のインフラストラクチャとアプリケーションのサポート
    • 高速脆弱性の更新とゼロデイ脆弱性への対応
  • C-Secureの侵入テスト方法論は、具体的には顧客のデータ損失や、ダウンタイムとリスクを軽減するように設計されています。

    脅威モデリング(Threat Modeling)と脆弱性分析(Vulnerbility Analysis)を使用してシステムの危険性を確認し、破損を予測します。この段階では、テスト時に発生する可能性のあるシステム損傷を予測します。その後、侵入テストで重要なステップの一つであるExploitationを介して実質的なテストが行われますが、多くの場合、精度を重視するよりはbrute force(ブルートフォース)によってテストされます。Exploitは、Exploitを介して攻撃が成功することを前提として実行されます。

    テストを介して検出された脆弱性をどのように制御するか?どのようなアクションがあったのか?何が重要なのか?についてのコミュニケーションをレポートを通してご報告いたします。
    また、お客様のシステムで実用的な脆弱性をテストする場合も、悪用される可能性が高い脆弱性を含む処理方法をレポートとしてお客様にご報告いたします。

  • 脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。 しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知(false positive)が発生する場合もあります。特定のフレームワークではなく、ユーザー独自開発アプリケーションの場合にセキュリティ上の深刻な欠陥を検出できません。また、検査されたネットワークに特化されていないネットワーク要素間との任意の接続も現れず、現実的な脅威かどうかを判断することが難しいので、現実的なハッキングの脅威とは比較されにくい部分があります。

    擬似侵入テストは、現実的な脅威を確認するために、この脆弱性を攻撃します。事前に実際の攻撃を行うことができる脆弱性を識別し、接続リングを発見し、様々なパターンの攻撃を試みることができます。スキャナでは検出されない、特定のネットワークリソースやシステムリソースに、実際に脅威を与える可能性がある脆弱性を識別し攻撃するために、ハッカーが現実に悪用可能な脆弱性の潜在的リスクを評価し、注意が必要な脆弱性の優先度を順位付けできるように支援します。

    この脆弱性の分析と擬似侵入テストは、並行して行うことにより効率的な検査を行うことができます。

  • レイヤー単位のネットワーク層テスト(ファイアウォール、Webサーバ、メールサーバ、FTPサーバ…など)、アプリケーション層(すべての主要な開発言語、すべての主要なWebサーバー、すべての主要なオペレーティングシステム、すべての主要なブラウザ)、無線システム、内部ワークステーション、プリンタ、ファックス装置、WARダイヤルベースの電話番号、仮想化およびクラウド環境、インターネット対応デバイスなどのテストが行われます。