擬似侵入テスト

企業インフラストラクチャの主要な情報システムに存在するCVE(Common Vulnerabilities and Exposures)、CWE(Common Weakness Enumeration)の脆弱性分析後、実際に浸透するかどうかを把握して、技術的なセキュリティの脆弱性を診断し、効果的な改善策を用意し、重要な情報システムのセキュリティと安全性を確保するためのサービスです。

お客様の重要なシステムについては、セキュリティ担当者の事前承認をいただいた後、脆弱性を発見し、部外者視点で侵入テスト(Penetration Test)をして、これが原因で発生することがあるハッキングの脅威と内部のセキュリティ事故を予防し、阻止するための対応策を提示します。お客様のセキュリティ担当者との事前協議後、擬似ハッキング担当コンサルタントによって行われ、情報システムへの外部からのハッカーを装って侵入テストを実行すると、内部の悪意のあるユーザーを装った情報の流出やシステム破壊などのシナリオを想定しテストを実施します。

脆弱性検査ツールやコンサルタントマニュアルの確認を行い、様々なパターンベースの侵入テストが行われるが、実際の攻撃に応じた範囲、リスク、攻撃可能かどうかを測定し、この脆弱性を削除する際の優先順位を指定することができます。
擬似侵入テストを通じて、企業の情報資産の保護、セキュリティ事故の予防、企業イメージの向上と信頼性の向上にメリットとして作用することができます。

Webアプリケーション

主要な情報通信基盤の脆弱性、SQL Injection、Cross Site Scripting(XSS)、ファイルアップ/ダウンロード、ディレクトリの移動、インデックス、クッキー操作/変調、Command Injection、PHP Injectionなど

スマートフォン

Jailbreak、Android root化を対象とした個人情報収集とハッキング診断、スマートフォン・無線LANの脆弱性を悪用した攻撃の診断、セッションの脆弱性、ユーザーアカウントクラッキング診断、QR codeとフィッシングサイトを悪用したスマートフォンの個人情報収集・攻撃診断、SSL認証バイパス手法を悪用したスマートフォンの個人情報収集・攻撃診断、悪意のあるアプリケーションを悪用した個人情報・ファイル・証明書の収集、その他多数

ワイヤレスネットワーク

WEP、不正なWPA Key、MAC Filteringバイパス、ワイヤレスネットワークのなりすまし、盗聴、違法AP攻撃、不正なクライアント攻撃、有線/無線の統合侵入テストの診断、その他多数

システム/ネットワーク/VoIP

Exploit Attack、Dos Attack、Bound Attack、Stack Overflow、Heap Overflow、Heap Spray、Format String bug、IP/ ARP/ DNSスプーフィング攻撃、MITM/Sniffing攻撃、セッションハイジェクキン攻撃、ルータ/スイッチの脆弱性分析や攻撃、DHCP/SSH関連の攻撃、VoIPネットワーク盗聴など

セキュアコーディング

セキュアコーディング(Security Coding)サービスは、 アプリケーションセキュリティの技術的、組織的な課題を改善するためのサービスです。

セキュリティの脆弱性を低減するためには、何よりもソフトウェア開発の初期段階である実装の段階で修正することが最も簡単でコスト効率に優れています。

リリース前にソフトウェアの脆弱性を50%減らすと、侵害事故対応費用が75%減少 - Gartner
92%のセキュリティの脆弱性が、ネットワークではなく、アプリケーションで発見 - NIST
リリース後にエラーを修正するためには、約30,000ドルの費用かかるが、開発中のエラーを修正するためには、約5,000ドルあれば十分 - NIST
リリース後にエラーを修正したい場合は、設計段階よりも100倍の作業量に増加 - IBM

C-Secureの専門開発チームと主要な利害関係者を関連させて、開発段階でのセキュアコーディングをサポートし、セキュリティのための戦略を構成およびソフトウェアの効率性と拡張性を向上させることができるプロセスの改善と、自動化と統合を通じたアプリケーションの実用的なセキュリティの改善に焦点を置いています。
セキュアコーディングは開発段階でのハッキングなどの攻撃を誘発する可能性がある潜在的なセキュリティの脆弱性を事前に除去した、外部の攻撃にも強い安全なソフトウェアを開発するための手法です。

レメディエーション・サービス

どのような企業でも、いつかはどのようなインテリジェント攻撃を受ける。という事実を認めなければなりません。 攻撃を受けた後、対策する期間が長くなるほど被害がさらに大きくなり負担すべき費用も増えるのです。

比較的軽いセキュリティ事故の場合、短期間に復旧が可能です。しかし、サイバー犯罪が起こったために失墜したイメージは、回復するのに非常に長い時間がかかります。
ここでは、問題が完全に解決されたというお知らせを伝えるために、より困難な調査・対策が行われるという点も原因となっています。
ですので、積極的にセキュリティインシデントに対処し、これを調査するために必要な資源や技術力の確保がそのような事故の影響を最小限に抑えるために必要不可欠なのです。
積極的な危機対応により、お客様の現場離脱を最小限に抑え、業界の標準化機関で共有し、活用されている情報を使用しセキュリティ状態を強化。会社の損失(時価総額)を取り戻すことができるケースもあります。

被害から回復しインテリジェント攻撃から企業を保護するということは、一企業としては非常に大きな負担となるため、外部機関のサポートを受けるというのも賢明な選択といえます。
議論し、検討して、心配事が増えるでしょう。しかし、一度行っておけば良いのです。一人ですべてのことを解決する必要もありません。

C-Secureの被害回復サービスは、災害時回復戦略において、あらゆる側面での計画・実装と管理をサポートします。

教育サービス

昨今、国内には大小のセキュリティ事故が相次ぎ、これによる被害が深刻化しています。  それに比べ私たち社会のセキュリティ意識と常識は発展したIT環境に今だ追い付かずにいます。   C-Secureの教育サービスは、このような状況でセキュリティに対する個人や組織の理解を高め、 企業の全体的なセキュリティレベルを高めることを目的としたサービスです。

多くの企業がセキュリティポリシーを従業員に強要し、ノートパソコンや外付けハードディスクを家に持って行かず、外出先でコーヒーを飲む時も、企業の機密情報を画面に表示せず、機密情報を画面に表示したまま帰宅しないように教育されています。しかし、本当にこれだけで十分でしょうか?規制を遵守したとしても過失として判断される行為がある場合、それは悪い結果を招く可能性を完全に排除することはできないでしょう。明らかなのは、一体誰がデータセキュリティに責任を持っているのかです。それは勿論すべての役員の責任なのです。

先を行く企業ビジネスとテクノロジー部門担当役員のうち90%は、企業のセキュリティ管理職が経営陣に含まれているはずです。企業の担当者をはじめとする役員は、従業員が10人、100人、1000人であれ、セキュリティポリシーに準拠していない場合、どのような事態がもたらされるかを理解している必要があります。

明らかに、会社の文化を変えることは非常に困難です。しかし、セキュリティの改善に参加することの重要性を社内に周知し、すべての社員がセキュリティ問題を把握し、報告する方法をトレーニングすることで、正しい方向に進むことができます。 C-Secureの教育サービスは、企業の投資コストの効率化と、メンバーの実質的なセキュリティ意識向上に焦点を当てています。

ソフトウェア開発セキュリティ(セキュアコーディング)

C-Secureの教育サービスは、企業の開発者がソフトウェア開発セキュリティ(セキュアコーディング)に慣れることに焦点を置いています。安全なコーディングの大きな利点は、ソースコードの安全性が高まり、開発時に発生するセキュリティ上の欠陥が減少します。安全なソフトウェアを開発し、各種サイバー攻撃からの予防ㆍ対応をすることに加え、開発段階からセキュリティ上の弱点を除去する「開発セキュリティ」の義務プロセスは、短時間で企業に革新をもたらしてくれます。

セキュリティ意識教育

企業のIT担当者が、ユーザーを対象にセキュリティ教育プログラムを要求するのは、「これは我々の責任ではない」という点を強調するためです。つまり、メディアは暗号化することができますが、情報(Information)は、常に流出されています。企業のヘルプデスクやレストランなどの担当者を対象としたソーシャルエンジニアリング攻撃(social engineering attacks)には、アプリケーションレベルでは防ぐことができません。ストーリーテリングや繰り返しのトレーニングではなく、実質的なコミュニケーションと現場教育により、企業の全体的なセキュリティレベルを向上させることができます。

お客様のWebサイトは、攻撃に晒されていませんか?

70%のWebサイトとネットワークは、既に悪質なハッキングの脆弱性に晒されています。 今からでも遅くありません。脆弱性を見つけてWebサイトを守りましょう。