ペンタゴンが指名する
クラウドソース・ペネトレーションテストサービス

SmartScanキャンペーン実施中

現状の脆弱性検査サービスの課題

検査員の
スキル・網羅性・適合性の制限
検査状況の
視覚化と透明性の欠如
Point-in-Timeの
ソリューション
継続性や完結性の欠如

Synackの特徴

スキルが高く多様性に富んだ
多数の検査員
検査状況と脆弱性情報を
リアルタイムに提供
継続的な検査と
変化への柔軟な対応
脆弱性のライフタイム管理と
サポート

Synackサービスの特徴と世界の潮流に関する記事はこちら

Synackの強み

: 人手による検査は
スケールしない
少人数の検査員では
継続的な検査は提供できず、
検査員個人のスキル、得意分野、適合性
に依存する

: 自動検査ツールによる検査は
柔軟性がない
自動検査ツールでは
ハッカーの柔軟性に対抗できない

Synackによる答え

自動検査ツールによる大規模対応と、
スキルが高く多様性に富んだ
多数の検査員による柔軟性を
同時に提供

Synackの仕組み

Synack Red Team（SRT）

世界最高級のホワイトハッカー（Ethical Hacker）チーム

・世界50ヶ国超から参加する1000名を超える多様なスキルセットを持ったホワイトハッカー集団
・Webアプリ、モバイルアプリ、IoTデバイス、サーバ、ネットワーク、リバースエンジニアリングなどの得意分野を持った多様性のあるメンバー
・スキルと身元の信頼性に関する厳しい審査を通過したメンバーにより構成される（採用率 < 10%）
・顧客の検査対象に応じて、得意分野が適合する適任者を選定し検査チームを編成（50～100人）
・脆弱性発見者にのみ報奨金が発生する仕組みにより、迅速で網羅的な検査を促進

Hydra

Synack Red Team (SRT) の強力な武器＝独自スキャナー

・顧客システムのネットワークやサーバを調査するツール
・ハッカーコミュニティで公開された最新ツールや手法を、SRTで共有
・調査対象に対して既知の脆弱性検査を自動実行（SRTは直接スキャン・マッピング・検出作業は行わない）
・初動で検出した脆弱性を報告
・スキャン結果はSRTに共有され、 SRTはこの情報を元に更に深い脆弱性検査を実施

LaunchPoint

脆弱性検査作業を記録・監視するゲートウェイ

・SRTによる脆弱性検査は全てLaunchPoint経由で実施
・検査の作業は全て記録され、Mission Opsチームにて監視や脆弱性の確認、再現で利用

Mission Ops

顧客のプロジェクトを管理するSynack社チーム

・顧客と検査対象を調整
・顧客の検査対象に合わせてSRTを編成・管理
・SRTが発見した脆弱性の確認とレポート作成支援
・顧客の脆弱性修正を支援し、修正後の再検査を実施

Client Portal

顧客が検査状況やレポートをリアルタイムに確認できるポータル

・検査状況や、発見された脆弱性情報（深刻度、概要、影響度、詳細な脆弱性の説明、修正方法等）をリアルタイムに表示
・必要に応じて検査作業を中断・再開することも可能
・修正した脆弱性に対する再検査の依頼や再検査結果も確認可能

Synack Red Teamの選考過程

スキルと身元の信頼性に関する合格率10%以下の厳しい審査を通過した検査員
採用後も検査状況は継続的に監視・審査される

サービスラインナップ

2種類のサービスをご用意しております

基本的なサービス内容

Hydraによる網羅的な脆弱性診断
Client Portalの提供（リアルタイム情報：英語）
コンプライアンス適合評価（対象：OWASP Top 10、 PCI DSS、NIST SP 800-53）
Attacker Resistance Score （ARS ：攻撃耐性スコア*）の算出
*検査結果と独自のアルゴリズムで、お客様環境の攻撃耐性をスコア化する特許技術

■Crowdsourced Penetration Testing （CPT)

チェックリスト（70項目）に基づく、包括的な脆弱性診断

・SRTによる検査：24時間×7日間を1回実施
・報告会（分析レポート：日本語）を1回実施
・攻撃耐性スコア（ARS）をSRT検査後に1回提供

■Crowdsourced Continuous Testing （CCT)

チェックリスト（ 70項目）に基づく、年間継続型の脆弱性診断

・SRTによる検査：24時間×7日間を2回実施
・報告会（分析レポート：日本語）を2回実施
・攻撃耐性スコア（ARS）をSRT検査後、年間提供

定額制料金

いずれも検査範囲による定額料金
検査工数による追加料金は発生しません

キャンペーン

webの脆弱性対策では継続的に自社状況を可視化し、適切な対処と強化策を講じることが重要です

【SmartScanキャンペーンの概要】

SRTによる検査終了から1年間、検査対象システムのHydraスキャン（SmartScan）とClient Portalの提供を継続します

対象：Synack「CPTサービス」をキャンペーン期間中にご契約されたお客様
期間：2019年8月1日～2020年3月末

お申し込み方法や受付最終日など詳細は、営業担当にお問い合わせください

※SmartScan単体のサービス提供は行っていません

年間継続型CCTサービスとの違い

・SmartScanサービス期間中のARSは、算出しません
→CCTの場合、サービス期間中は定期的にARSを算出します
・（キャンペーン付きのCPTとCCTで検査開始日が同時の場合）
サービス提供期間が異なります
→右図をご参照ください

資料請求

Synackサービス紹介

PDF資料(1.7MB)
2ページ

Synack Trust Report
(翻訳付き)

PDF資料(5.9MB)
翻訳26ページ/本編34ページ

お電話でのお問い合わせ 03-3379-2053 営業時間：9:30～18:30

お問い合わせフォーム

お問い合わせ

各種サービスについてやご質問を受け付けております。
お気軽にご連絡ください。

お電話でのお問い合わせ

TEL03-3379-2053

営業時間：9:30～18:30

ペンタゴンが指名するクラウドソース・ペネトレーションテストサービス