プレスリリース
クラウドマイグレーション後のシステムインフラに対し、多量のエシカルハッカー集団による徹底的な脆弱性の洗い出しを行います
クラウドソース・セキュリティテストを提供するSynack(本社:カリフォルニア州レッドウッドシティ、CEO:Jay Kaplan)は、2022年8月4日よりクラウドマイグレーションにおける脆弱性の洗い出しを行うペネトレーションテストサービスの提供を日本国内で開始しました。
Synackは、グローバルで2000名程度のエシカルハッカー集団を擁しております。ハッカー達の異なる専門的な能力や多様性、競争原理を活用するプラットフォーム企業として、オンデマンドでリソースフリーなセキュリティテストを提供します。昨今のデジタル脅威に対して、最も簡単かつ柔軟なソリューションをお客様にお届けします。
[画像: https://prtimes.jp/i/86685/11/resize/d86685-11-9fee205a0052e1f8ec7d-0.png ]
<背景>
- クラウドマイグレーションの裏で見落とされがちな脆弱性
企業のシステムインフラをオンプレミス環境からクラウド環境へ移行する動きはもはや一般的なものとして加速しています。一方、システムインフラのマイグレーションプロジェクトはそれ自体が非常に多大なリソースと労力を要するため、セキュリティ対策が疎かになりがちです。また、クラウド化に伴いセキュリティ基盤にも予算をかけ刷新するケースも多く見られますが、新たな基盤を導入し活用していくことに精一杯で、インフラ自体に存在する脆弱性の確認が遅れる傾向が非常に高くなっています。
- ランサム対策にも脆弱性の確認は必須に
最近ではランサムウェア被害の傾向なども変化してきており、外部から脆弱性を突かれてランサムウェアを仕込まれてしまうケースも頻繁に見られるようになっています。新しい基盤を導入する際は、少なくとも一度脆弱性をしっかりと洗い出し、自社が依存するインフラの穴を塞いでおくことが必須です。一方、現実的には、慣れない新しい基盤に業務が依存するという事実にもかかわらず、自社のシステムが客観的にどの程度安全なのか脆弱なのかを全く把握すらしていないという状況もしばしば見られます。
<Synackのインフラストラクチャテスト>
- 専門家集団による徹底的な脆弱性の洗い出し
SynackのインフラストラクチャテストはAWS、Microsoft Azure、Google Cloud Platformなどクラウド上にあるシステムインフラに対し、多量の専門家集団による徹底的な脆弱性の洗い出しを行います。
- 簡単な導入
特別なシステム導入は必要なく、LaunchPoint(C)と呼ばれるSynackのゲートウェイとお客様環境をVPN接続することで、公開システムに限らず、非公開系システムも対象として実施することが可能です。
- 環境の変化を自動追跡
各クラウドプラットフォームとのインテグレーションによって、IPアドレスの変更やローテーションなどを自動追跡します。動的な環境に対応するためにテストの停止や特別な操作が必要ありません。
- 実践的な脆弱性の検出から修正までの支援
インフラストラクチャの脆弱性検出においては、ノイズが膨大に発生しトリアージにリソースを要することが従来からのツールの課題ですが、Synackでは実際にエクスプロイト(悪用) 可能な脆弱性をツールと人手を駆使して検出し、エクスプロイトの再現手順や修正方法なども含めた詳細をお伝えします。
- 継続的検査が可能なサブスクリプションサービス
本サービスはサブスクリプションとなっており、単発のチェックだけでなく、年間を通じて常時テストを実現する継続モニタリングもご利用可能です。
Synackによるサービスをご希望のお客様は、以下宛先にご連絡ください。
■お問い合わせ先
contact.jp@synack.com
■本ニュースと関連する記事
クラウドソース・セキュリティテストのSynack、CVE-2021-44228(log4j) へのお客様支援を緊急発表
https://prtimes.jp/main/action.php?run=html&page=releasedetail&company_id=86685&release_id=5&owner=1
<Synackについて>
Synackは攻撃者の視点で企業や政府機関のシステムの攻撃耐性を検査するクラウドソース・セキュリティテストをグローバルで展開する最先端の企業です。世界中で2000名程の高度なスキルと多様性を有するエシカルハッカー(SRT)と契約し、集団力と競争原理を活用した擬似攻撃型の検査を安全かつ固定価格にて提供します。昨年のセキュリティテストの数ではグローバルトップ(自社調査)となっており、担当者個人のスキルや経験、想像力に依存していた従来のセキュリティテストやツールによる脆弱性管理のあり方を大きく変革します。特に、セキュリティの十分性や説明責任を果たす上で、多量かつリアルなエシカルハッカー集団をぶつけて検査するという、実践性においてこれ以上の取り組みがない点や、多様性や集合知を活用することで想定外のリスクを洗い出すことができる点において高い評価を得ています。リソースフリーかつオンデマンドであることからDevOpsの開発サイクルに沿った利用や、これまでの単発テストでは実現できなかった年間を通した常時テストにより、長期的な視点で攻撃耐性の変化や傾向をモニタリングすることも可能となっています。AI等を駆使したスキャナー、特定の業界標準やフレームワークに対応したテスト、パッチの有効性評価等の豊富な機能も備えており、サービスは短期並びに継続的なサブスクリプションとして提供されます。ペンタゴンや国際的な金融機関においても長年利用されており、日本国内でも大手企業を中心に幅広い業種においてご利用頂いています。
プレスリリース提供:PR TIMES