column

セキュリティテスト・マネージドサービス – Cigital 3D

セキュリティテスト・マネージドサービス: Cigital 3D資料・トライアルのご請求は今すぐ

このアプリケーションセキュリティ・マネージドサービスCigital 3Dは、日本の企業のニーズを満たすために開発されています。2016年のリリース以後、国内の重要インフラ、ネット・金融サービス、自動車メーカー、ソフトウェアベンダーの採用をいただき、続々とリスク削減と開発改善における成果を出しています。

セキュリティ診断・アプリケーションテストの手段として、セキュリティテスト・マネージドサービスをご検討ください。

解決できる経営課題:アプリケーションセキュリティ・テストの「QCD」効率

cigital3d顧客や決済情報の情報漏えい、システム情報の漏えいなどのクリティカルな問題の大多数の原因は、インターネット向け・社内向けの両方のアプリケーション構築におけるセキュリティ脆弱性によるものです。これは企業の存続にさえ、深刻な影響を及ぼしています。そこで、少なくとも、出荷前に脆弱性テスト(ペンテスト)を実施することで、最低限、すぐに攻撃・悪用されるような問題には事前に対応する必要性が高いことは認識されてきました。

現実を直視すると、攻撃対象は「修正・追加した部分」だけではありません。ウェブアプリケーション、モバイルアプリ、バックエンドAPI、管理機能、それらを配備するプラットフォームのすべてが対象となっています。どれも適切に設計され、セキュアに開発され、プロトタイプ、モジュール、ビルド後のすぺてのプロセスにおいて必要なテストを実施することが必要です。開発改善サイクルをリズムよく適切にまわすことを通し、確実にグリップ力のある改善を図っていくことが重要です。

日本国内にもソフトウェア・セキュリティ診断企業は多くありますが、それぞれ十分なセキュリティ検証体制を提供できていません。御社の品質、リスク対策の頼みの綱となるセキュリティ・テストサービスは、システムのセキュリティ確保を確信できる、適切なテストを採用できていますか。また、どれほど有効に活用されていますか?

これまで指摘されてきたセキュリティテストサービスに関する顧客の声

 QCD指標問題
 Quality

品質に貢献するか

現状「テストをしても、結果を反映しにくい。」

  • ・たくさんの脆弱性を指摘するが、リスクの大きさ、影響範囲の判定基準がわかりにくい。
  • ・読み解くことが難しい。脆弱性を修正したり、根本的に改善することに活かしにくい。
  • ・テスターに相談できない。なんと、さらに外部に再委託されることもある。
  • ・開発チームへの貢献、教育効果のあるアドバイスはまず、ない。
 Cost

安くできるのか

現状:「脆弱性テストのコストは高額。ツールも高額で融通が効かない。」

  • ・テストにはその都度調整とコストが発生する。
  • ・プロジェクトごとにコストが発生する。
  • ・早期テスト、繰り返しテストは難しい。
  • ・プロ検査ツールでは、プロジェクトが異なると別ライセンスとなる。
  • ・コスト圧縮のためテストする対象を絞らなければならず、結果として包括的なリスク対策にはならない。
 Delivery

リリースへの影響

現状「フレキシブルなスケジュールで、リスクに応じた必要なテストができない」

  • ・調整段階でアプリケーションテストのスケジュールや対象、深度を決定する必要がある。
  • ・レポートが遅く、早期テスト、繰り返しテスト、修正確認テストをする時間がとれない。
  • ・発注者の事業リスクやコンプライアンスに適合したテスト担当者のリソースはない。

適切なセキュリティテストを実施すること – ビジネス成長の鍵

リスクコントロールに貢献しない、中途半端な脆弱性検査はもうやめることです。

アプリケーションセキュリティ・テストによってもたらされるお客様のソフトウェア資産価値に貢献できるのかどうか調べるにはいくつかの視点がありますが、少なくとも次の3つのポイントを否定する専門家はいないことでしょう。

  1. ビジネスが保有するシステム・アプリケーション資産へのテストをどれほど網羅できるのか
  2. テスト対象、業界にそれぞれに適合したテストが適切な深度で実施できるのか
  3. テストにより発見した脆弱性問題をどうすれば良いのか、改善ガイダンスを得られるのか

比較指標が必要であれば、ぜひ比較分析用の資料をご覧ください。

Cigital 3Dが提供する、QCD効率の高いセキュリティ・マネージドサービス

繰り返し使えるマネージド・サービスは、担当者がビジネス要件の実現に集中でき、セキュリティを配慮しながら限界突破できる有効な手段です。このサービスは、米国Cigitalの保有するグローバルの巨大な「セキュリティテスト・ファーム」を活用し、年間固定コストでさまざまな深度のテストをさまざまなプロジェクトにアサインできる仕組みです。

テストチームは、グローバルの厳しい試練に耐えてきた高品質なテストを実施しており、さまざまなシステムのセキュリティ問題の発見のみならず、コンプライアンスや、システム改善手段についても、クリティカルな環境の経験者であり、日々取り組んでいます。このセキュリティテストチームには、「テスト・ポータル」を通し、いつでもオーダーすることができます。

cigital-3d2016-01-22 16.25.47「テスト・ポータル」は、1アカウントあたり、御社専用の1レーンのカレンダーが提供されます。そこにスケジュールすることができるだけ、テストする対象(上記の1)、テストの深度(上記の2)をアサインします。複数レーンの契約も、もちろん可能ですし、ピンポイントでアラカルトチケットを用いて併行テストを追加することもできます。

テストの結果、報告レポートには、発見した脆弱性の概要、影響の深刻度、再現テスト手段、そして、プロアクティブ・コントロールすなわち開発者向けの構築におけるガイダンス(上記の3)が含まれます。Cigital 3Dセキュリティテスト・マネージドサービスの概要資料をご覧ください。

テストチームは社内・グループ内にあるのが望ましいのではないでしょうか

システムが直面するあらゆる側面、システムのあらゆる形態に対応できるセキュリティテストを実施できるツールとスキル人材を揃えることは、高コストで、即戦力になるまでに時間がかかります。ウェブ、アプリなどそれぞれの異なる脅威を分析し、それに適合したテストを行うには、少なくとも「手」が足りませんが、簡単に調達できません。

例えば、セキュリティ・テストツールは、”false negative/positive”を大量に出しますし、それを分析し仕分けするのは容易ではありません。

また、スキル人材については、発掘のみならず常にアップデートメンテナンスが不可欠です。攻撃手法は日々変化していますし、防衛手段もまたそうです。ビジネスの変化、業界ごとのセキュリティ・コンプライアンスの変化に対応する必要もあります。

cigital-logo

一方、Cigital 3Dのテストプロセスは日々改善を繰り返しています。分析・レポート作成は、テスト・オーダーごとに、テスト対象のリスクプロファイルに適した3名の体制で実施にあたります。”false negative/positive”を精査することはもちろんのこと、再現手順、リスク評価、そして、改善のために必要なアドバイスも加えます。

このサービスにより、既存のセキュリティチームに、常にリスク専門チームを強い味方として加勢してもらうことが可能になります。

テストのバリエーション、診断レポートのデリバリー日数

テストファームへの直接のオーダーが可能であるため、極めて迅速で、かつさまざまなテストを選択できます。データシートをぜひご取得ください。サンプルレポートもご提供できます。

Cigital 3D “Security Test as a Service” のテスト深度例

DAST-Essential/StandardPentest-Essential/Standard
  • 複数の動的解析ツールを活用した、自動的なアプリケーションセキュリティテストと分析
  • さまざまな専用ツールを組み合わせた、包括的なセキュリティテストとエキスパートによる分析
  • 所要日数:2-3営業日
  • ツールによるテストに加え、より詳細なリスク分析を実施し、ビジネス・ロジックのバイパスをチェック。
  • 重要性の高いリスク及びクリティカルな脆弱性を特定するためのエキスパートによる手動の徹底的なセキュリティテストを実施。
  • 所要日数: 5-7営業日
詳しく話を聞いてみたい

arrow_upward