米国国防総省や国際銀行も利用する
エシカルハッカーによるペンテスト

クラウドソース・ペンテスト・プラットフォーム
“Synack”とは

クラウドソーシングによって米国Synack社と契約した在野のセキュリティ研究者・技術者などのエシカル(倫理的な)ハッカーが、企業が所有するアプリケーション/インフラシステムに対し「サイバー攻撃者の視点で深刻な脆弱性の検出を試みるセキュリティテスト」と「検出した脆弱性の管理機能を提供するカスタマーポータル」を統合したサービスプラットフォームです。

Synackの特徴

①攻撃者視点
攻撃者と同じ視点でシステムの脆弱性を検出/報告
      
②クラウドソーシング+バグバウンティ
厳しい審査を通過した高いスキルと高い倫理観を持った世界中1,500名以上のハッカープールから、1プロジェクトあたり40~60人が検査員として参加。多様な視点の活用と成功報酬制による高いモチベーションで、他の脆弱性検査サービスでは検出されにくい脆弱性の検出可能性を向上
   
③迅速な脆弱性対応を可能にする速報性
検出された脆弱性の詳細な内容(検出箇所、再現方法、修正方針など)をリアルタイムに報告するカスタマーポータルを提供、検出された脆弱性への対応状況等のステータス管理やパッチ適用後の再検査依頼等の各種機能を併せて提供し、セキュリティライフサイクルの確立を支援

“Synack”サービスプラットフォーム

Synackと脆弱性検査の比較

従来の脆弱性検査Synack
検査時間40-80時間250 – 350時間
検査人数1 – 2名平均約60名(Webアプリケーションテスト時)
検査料金従量制課金:労働時間 × 稼働人員
(検査成果・実稼働時間に関係なし)
固定料金:アプリケーション単位
(実働工数に関わらず固定料金)
24×365継続検査×
報告書
スキャナーの場合は脆弱性リストに依存する定型報告書

60 – 120名の多様な検査結果 +
PCI, OWASP等コンプライアンスを網羅する検査報告書(オプション)
結果報告タイミング検査終了後数日後顧客ポータルに検査期間中、逐次検査結果を報告
再現性100%
検査手法開示

細かい検査手法は開示しない場合が多い

顧客ポータルにスクリプト他全ての検査手法を開示
再検査
オプションの場合が多い

対策適用後に無償で再検査を提供
CVSSスコア脆弱性評価
診断会社による
攻撃耐性スコア×
大手EC, 大手金融機関等検査スコアとの対比が可能

Synack Red Teamの採用プロセス

スキルと忠誠心において世界最高水準のホワイトハッカー=Synack Red Team
ハッカーとは「普通のコンピュータ利用者なら知らずに済むようなシステムやネットワークの内部の働きに通じ、その上を行くことを喜びとする人」

Synack Red Teamのメンバーはそれぞれが厳正なスキル審査に担保された卓越したスキルを有するだけではなく、Synack社による身辺調査をクリアし、厳格な法的拘束への同意が求められます。

検査プロジェクトの流れ(ご発注前の事前準備)

納品報告書イメージ

報告書内容例

1 診断実施概要
 1.1 サービス構成
 1.2 SRTについて
 1.3 プロジェクト推進体制
 1.4 プロジェクトの流れ
 1.5 対象および日程
2 診断結果サマリー
3 診断結果詳細
 リスクレベル、概要、影響、対策、再現手順
4 ARS 攻撃耐性スコア
Appendix
 ポータル画面説明、脆弱性の再検査依頼手順

関連サービス

お問い合わせ

inquiry

各種サービスについてご質問を受け付けております。
お気軽にご連絡ください。

お電話でのお問い合わせ

03-3379-2053

営業時間:9:30~18:30(土日祝を除く)