情報セキュリティ
INFORMATION SECURITY

脆弱性診断について

手動によるゲヒルンの脆弱性診断

国内には「脆弱性診断サービス」が数多く存在しますが、それらの中には市販のスキャンツールで検査し、ツールが出力するレポートをそのまま報告書として提供する事業者もいます。

ゲヒルンの脆弱性診断サービスは、実績のある診断員が検査対象に合わせた擬似攻撃を実施し、スキャンツールでも見つけられないような複雑な脆弱性や、特別な条件で発生する開発者が想定していない挙動や問題を見つけ出します。 そのうえで、検査対象に合わせて判定した問題の重要度や、課題の改善案を記載した報告書をお客様にご提供するサービスです。

ゲヒルンには、豊富な経験と実績のある診断員のほかにも、自社製品において認証や認可、権限管理のためのシステムの設計と実装に従事するバックエンドエンジニアやフロントエンドエンジニア、インフラストラクチャを設計・開発するエンジニアが在籍しています。 これらゲヒルン社内の有識者も必要に応じて脆弱性診断の補佐や、お客様の疑問の解決に当たることで、他社とは一線を画す高品質の脆弱性診断サービスを提供できるのです。

脆弱性診断が必要な理由

ソフトウェアにおける脆弱性とは、『正規の管理者や利用者ではない第三者がシステムの乗っ取りや機密情報の取得などに利用できる可能性のある実装や仕様の問題(悪用できるバグ)のこと』をいいます。

ソフトウェアの脆弱性が悪用されることを防ぐために、ソフトウェアにおいても人間における健康診断と同じように、まずは問題を発見しそのリスクを正しく評価した上で、リスクに対してどのように対応するか判断する「リスクアセスメント」が欠かせません。

リスクアセスメントを実施する上で、専門的な知見によりシステムの問題を発見しそのリスクを報告するゲヒルンの脆弱性診断が必要なのです。

ゲヒルンの脆弱性診断の強み

POINT 01

実績のあるメンバーが在籍しています。

ゲヒルンには、 IPA と経済産業省が主催するセキュリティ・キャンプの修了生が多数在籍しているほか、脆弱性診断に従事する診断員としてハッキングコンテストで優勝経験や受賞経験のあるメンバーや、海外のハッカーコミュニティで脆弱性を報告したりブラウザ自体の脆弱性報告により賞金を獲得した経験のあるメンバーなど、国内外でトップクラスの活躍をするメンバーが在籍しています。 また、代表の石森はセキュリティ・キャンプ実施協議会の顧問を務めています。

POINT 02

開発者目線での診断をしています。

ゲヒルンには診断員に加え、インフラストラクチャの設計・開発に従事する開発者や、ソフトウェアプログラミングに精通する開発者が在籍しており、開発者の目線から脆弱性診断に対して助言を行うことでサービスの品質を高めています。
ゲヒルンの脆弱性診断は攻撃者と同じ視点と同じ手法を用いた擬似攻撃により高度で専門的な問題を発見しますが、発見した問題のご報告に当たってはソフトウェア開発者が在籍するゲヒルンの特色を活かし、開発者の方にもご理解いただけるよう丁寧で分かりやすい説明を行っています。
また、問題のご報告にとどまらず、ソフトウェア開発者の知見を生かし、問題の修正方法も併せてご提案いたします。

POINT 03

ゲヒルン社内の独自の分析レポート。

ゲヒルンでは、診断が終わるとすべての分析局員が集まり担当案件以外の診断結果について相互レビューを行い、できるだけ多くの有識者の目で診断結果を確認します。 このようにして、すべての報告書はお客様のお手元に届く前にゲヒルンのすべての診断員によりレビューされます。
レビューでは、検査対象に応じて想定される影響を加味した上で脆弱性の重要度を決め、使用されている言語やフレームワーク、実装に合ったアドバイスになっていることを注意深く確認しています。

プラン一覧

お問い合わせ

詳細やお見積についてはお問い合わせください。