リスクアセスメントの実施専門的な知見によりシステムの問題を発見
リスクアセスメントを実施する上で、専門的な知見によりシステムの問題を発見しそのリスクを報告するゲヒルンの脆弱性診断(※)が必要なのです。
※ ソフトウェアにおける脆弱性とは、『正規の管理者や利用者ではない第三者がシステムの乗っ取りや機密情報の取得などに利用できる可能性のある実装や仕様の問題(悪用できるバグ)のこと』をいいます。
ゲヒルンの脆弱性診断は、ツール診断を併用しながらも手動による「開発者目線での診断」を得意とします。
リスクアセスメントを実施する上で、専門的な知見によりシステムの問題を発見しそのリスクを報告するゲヒルンの脆弱性診断(※)が必要なのです。
※ ソフトウェアにおける脆弱性とは、『正規の管理者や利用者ではない第三者がシステムの乗っ取りや機密情報の取得などに利用できる可能性のある実装や仕様の問題(悪用できるバグ)のこと』をいいます。
攻撃者(ハッカー)と同じ視点と同じ手法を用いた擬似攻撃により高度で専門的な問題を発見します。発見した問題のご報告の際には開発者の方にもご理解いただけるよう丁寧で分かりやすい説明を行っています。
また、問題のご報告にとどまらず、ソフトウェア開発者の知見を生かし、問題の修正方法も併せてご提案いたします。
脆弱性診断は、ツールを利用して行う自動診断と、診断員による手動診断とに大別されます。ゲヒルンでは、ツールによる自動診断を補助的に利用しながらも、診断員による手動での診断を行っています。ツールだけでは検知できない「潜在的な課題」や「今後の開発アドバイス」などを含め、開発者の目線に立った診断を得意とします。
サービスリリース前
ご予算に応じて範囲を選定し診断を行います。何かしらの問題(脆弱性)が発見された場合は、公開前に修正(※)を行っていただけます。
定期(年1回)
問題がないことも含めサービス全体を包括的に診断させていただきます。私たちにとっての健康診断と同様のイメージです。
リモート診断
開発環境(テスト環境)をご用意いただき、当社オフィスからインターネット経由で診断させていただきます。
オンサイト診断
お客さま指定の場所から特定経路で診断させていただきます。実際のご利用状況に近い状態での診断結果をご希望の場合におすすめです。
※ 修正の期間も加味して余裕を持ってお申し込みください。
お見積りのご依頼・診断書サンプルのご請求などお気軽にお問い合わせください。のちほど担当者よりご連絡させていただきます。
問い合わせる
高校生の頃に自分が愛用しているサービスの脆弱性を偶然発見し、身近に脆弱性がありふれている事に衝撃を受けて以来、脆弱性情報届け出制度やバグバウンティ制度等を通して様々な脆弱性を発見・報告している。
ゲヒルンでは2013年よりセキュリティ診断における分析を担当しており、数百件のシステムを分析。数千件の脆弱性を報告している。セキュリティ&プログラミングキャンプ2010 Webセキュリティ組に参加。その他、脆弱性発見コンテストでの入賞、セキュリティ関連イベントでの登壇など。
セキュリティキャンプ2012ソフトウェアコース修了。Webアプリケーションの脆弱性診断を得意とし、これまでに国内外のWebサイトの脆弱性をバグハンターとして多数報告している。
セキュリティ・キャンプ全国大会2014 Webセキュリティクラスを修了。その後、同イベントの地方大会や全国大会にチューターとして参加。ブラウザやWebアプリケーションに関する脆弱性の調査・発見を嗜む。
脆弱性報奨金制度への参加もしており、Mozilla Firefoxや国内外の脆弱性報奨金制度を実施しているWebアプリケーションから報奨金を受け取る。
小学6年生の頃に自宅のPCがハッキングされ、情報セキュリティに興味を持つ。来日した後、生活費を稼ぐために2010年からバグハンティングを始め、中国における大手企業のサービス上に存在する脆弱性を100件以上報告した。大の好物はXSS。余暇はXSS Challengeに参加するだけでなく、 Challengeの制作に時間を費やす。
DRM システムの Web サイト部分を担当、リリース前の検証で脆弱性を報告し、修正対応まで完了させたのちサービス開始。会員数規模は国内100万以上。
約300ページ
約4週間
新規リリース時から引き続き、主な変更箇所を中心に半年に1回の定期検診を実施。会員数規模は国内数千万。
約50ページ
約1週間
IoT 家電とその制御用スマホアプリに対して診断を実施。不正操作防止などの観点からの製品サービス化を支援。
約 30 API、スマホアプリ
約2週間
