セキュリティテスト・マネージドサービス: Cigital 3D資料・トライアルのご請求は今すぐ
このアプリケーションセキュリティ・マネージドサービスCigital 3Dは、日本の企業のニーズを満たすために開発されています。2016年のリリース以後、国内の重要インフラ、ネット・金融サービス、自動車メーカー、ソフトウェアベンダーの採用をいただき、続々とリスク削減と開発改善における成果を出しています。
セキュリティ診断・アプリケーションテストの手段として、セキュリティテスト・マネージドサービスをご検討ください。
- Cigital 3D概要資料(一枚モノ)はこちらからダウンロードしてください。
- チェックリスト「アプリケーションセキュリティテストサービスを評価するための10の質問」をご用意いたしました。
- また、Cigital 3D マネージドサービスについての詳細な資料、デモンストレーション、トライアルのご相談はこちらからご請求ください。
解決できる経営課題:アプリケーションセキュリティ・テストの「QCD」効率
顧客や決済情報の情報漏えい、システム情報の漏えいなどのクリティカルな問題の大多数の原因は、インターネット向け・社内向けの両方のアプリケーション構築におけるセキュリティ脆弱性によるものです。これは企業の存続にさえ、深刻な影響を及ぼしています。そこで、少なくとも、出荷前に脆弱性テスト(ペンテスト)を実施することで、最低限、すぐに攻撃・悪用されるような問題には事前に対応する必要性が高いことは認識されてきました。
現実を直視すると、攻撃対象は「修正・追加した部分」だけではありません。ウェブアプリケーション、モバイルアプリ、バックエンドAPI、管理機能、それらを配備するプラットフォームのすべてが対象となっています。どれも適切に設計され、セキュアに開発され、プロトタイプ、モジュール、ビルド後のすぺてのプロセスにおいて必要なテストを実施することが必要です。開発改善サイクルをリズムよく適切にまわすことを通し、確実にグリップ力のある改善を図っていくことが重要です。
日本国内にもソフトウェア・セキュリティ診断企業は多くありますが、それぞれ十分なセキュリティ検証体制を提供できていません。御社の品質、リスク対策の頼みの綱となるセキュリティ・テストサービスは、システムのセキュリティ確保を確信できる、適切なテストを採用できていますか。また、どれほど有効に活用されていますか?
これまで指摘されてきたセキュリティテストサービスに関する顧客の声
| QCD指標 | 問題 |
|---|---|
| Quality
品質に貢献するか | 現状「テストをしても、結果を反映しにくい。」
|
| Cost
安くできるのか | 現状:「脆弱性テストのコストは高額。ツールも高額で融通が効かない。」
|
| Delivery
リリースへの影響 | 現状「フレキシブルなスケジュールで、リスクに応じた必要なテストができない」
|
適切なセキュリティテストを実施すること – ビジネス成長の鍵
リスクコントロールに貢献しない、中途半端な脆弱性検査はもうやめることです。
アプリケーションセキュリティ・テストによってもたらされるお客様のソフトウェア資産価値に貢献できるのかどうか調べるにはいくつかの視点がありますが、少なくとも次の3つのポイントを否定する専門家はいないことでしょう。
- ビジネスが保有するシステム・アプリケーション資産へのテストをどれほど網羅できるのか
- テスト対象、業界にそれぞれに適合したテストが適切な深度で実施できるのか
- テストにより発見した脆弱性問題をどうすれば良いのか、改善ガイダンスを得られるのか
比較指標が必要であれば、ぜひ比較分析用の資料をご覧ください。
Cigital 3Dが提供する、QCD効率の高いセキュリティ・マネージドサービス
繰り返し使えるマネージド・サービスは、担当者がビジネス要件の実現に集中でき、セキュリティを配慮しながら限界突破できる有効な手段です。このサービスは、米国Cigitalの保有するグローバルの巨大な「セキュリティテスト・ファーム」を活用し、年間固定コストでさまざまな深度のテストをさまざまなプロジェクトにアサインできる仕組みです。
テストチームは、グローバルの厳しい試練に耐えてきた高品質なテストを実施しており、さまざまなシステムのセキュリティ問題の発見のみならず、コンプライアンスや、システム改善手段についても、クリティカルな環境の経験者であり、日々取り組んでいます。このセキュリティテストチームには、「テスト・ポータル」を通し、いつでもオーダーすることができます。
「テスト・ポータル」は、1アカウントあたり、御社専用の1レーンのカレンダーが提供されます。そこにスケジュールすることができるだけ、テストする対象(上記の1)、テストの深度(上記の2)をアサインします。複数レーンの契約も、もちろん可能ですし、ピンポイントでアラカルトチケットを用いて併行テストを追加することもできます。
テストの結果、報告レポートには、発見した脆弱性の概要、影響の深刻度、再現テスト手段、そして、プロアクティブ・コントロールすなわち開発者向けの構築におけるガイダンス(上記の3)が含まれます。Cigital 3Dセキュリティテスト・マネージドサービスの概要資料をご覧ください。
テストチームは社内・グループ内にあるのが望ましいのではないでしょうか
システムが直面するあらゆる側面、システムのあらゆる形態に対応できるセキュリティテストを実施できるツールとスキル人材を揃えることは、高コストで、即戦力になるまでに時間がかかります。ウェブ、アプリなどそれぞれの異なる脅威を分析し、それに適合したテストを行うには、少なくとも「手」が足りませんが、簡単に調達できません。
例えば、セキュリティ・テストツールは、”false negative/positive”を大量に出しますし、それを分析し仕分けするのは容易ではありません。
また、スキル人材については、発掘のみならず常にアップデートメンテナンスが不可欠です。攻撃手法は日々変化していますし、防衛手段もまたそうです。ビジネスの変化、業界ごとのセキュリティ・コンプライアンスの変化に対応する必要もあります。
一方、Cigital 3Dのテストプロセスは日々改善を繰り返しています。分析・レポート作成は、テスト・オーダーごとに、テスト対象のリスクプロファイルに適した3名の体制で実施にあたります。”false negative/positive”を精査することはもちろんのこと、再現手順、リスク評価、そして、改善のために必要なアドバイスも加えます。
このサービスにより、既存のセキュリティチームに、常にリスク専門チームを強い味方として加勢してもらうことが可能になります。
テストのバリエーション、診断レポートのデリバリー日数
テストファームへの直接のオーダーが可能であるため、極めて迅速で、かつさまざまなテストを選択できます。データシートをぜひご取得ください。サンプルレポートもご提供できます。
Cigital 3D “Security Test as a Service” のテスト深度例
| DAST-Essential/Standard | Pentest-Essential/Standard |
|---|---|
|
|