ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組(zu)織のセキュリティ事(shi)故(gu)発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予(yu)約不(bu)要、24時間対(dui)応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティコンサルティング

セキュリティ診断内製化支援

Inspection & Consulting

企業内におけるセキュリティ診断の "内製化" を支援

ITを活用した新サービス開発やリリースの頻(pin)度が高い場合や本格的(de)なDX推進を行う場合、セキュリティ診(zhen)断(duan)を社内(nei)で迅速に行う体(ti)制構築が求められます。診(zhen)断(duan)ツール導入や運用、診(zhen)断(duan)結果を活かす専門(men)知識などラックの蓄積された知見で企業内(nei)のセキュリティ診(zhen)断(duan)内(nei)製化をサポートします。

サービスの強み

専門知識と豊富な経験で計画策定から体制づくりや業務効率化まで、
セキュリティ診断の内製(zhi)化を支(zhi)援

企業の環境(jing)や事(shi)業上目(mu)的に沿った最適なセキュリティ診(zhen)断(duan)ツールをご提(ti)案するとともに、セキュリティ診(zhen)断(duan)結(jie)果を基に、脆弱性、分析結(jie)果についての専(zhuan)門(men)的なご相談対応、診(zhen)断(duan)ツール導(dao)入後の製品サポートも提(ti)供(gong)します。さらに、専(zhuan)門(men)知識と経験をもつ専(zhuan)門(men)家が診(zhen)断(duan)計画(hua)の策定や業務の推進体制づくりなど、セキュリティ診(zhen)断(duan)の業務効率化に向(xiang)けたアドバイスをします。内製化の仕組みを導(dao)入することで、コスト削減や標(biao)準化したポリシーに沿ったタイムリーでレベルの高(gao)い運(yun)用が可(ke)能となり、様(yang)々な課題の解決が可(ke)能になります。

<セキュリティ診断(duan)の内製化(hua)で解(jie)決できる課(ke)題>

  • 社外の開発会社にセキュリティ診断をすべて委託していて、費用がかさむ。
  • 開発ガイドラインはあってもセキュリティ評価のノウハウと仕組みがない。
  • 各事業部やプロジェクトで診断ツールが統一されていないためセキュリティ管理が困難。

トータルコストの削減とタイムリーで
レベルの高いセキュリティ診断の運用が実現可能に

  1. トータルコストの削減
    すべてを外部に委託するとセキュリティ診断に多大なコストが発生します。効率的な内製化の仕組みを導入し、運用の一部を“自動化”すればトータルコストを削減できます。さらに、いつでも必要な時に診断できるため、リリース前だけの診断に比べ手戻りを減らし、全体のコスト削減を実現します。
  2. 効果的でタイムリーな診断が可能
    診断ツールの導入で必要なタイミングで診断できるため、危険度の高い脆弱性が発表された時の急な対応やサービスのWebサイト開発におけるリリース前のセキュリティ診断など、社内で迅速な対応が可能となります。また、自社の都合で定期的な診断も実施することができます。
  3. 自社のセキュリティレベルの向上
    内製化を進めることで、検出された脆弱性に対して「どのような対策を取るべきか」という知識やノウハウを蓄積することができます。組織や事業目的に適したセキュリティ対策の知識やノウハウを開発ガイドラインや自社セキュリティ基準へ反映することで、診断で見つかったリスクの再発も予防できます。

セキュリティ診断を内製化するツールの紹介

診断ツール名 環境 / 用途 特徴

「Insight VM」
プラットフォーム診断用
(オンプレミス型)
  • 検出された脆弱性やホストでは、公表されている脅威情報・攻撃コードの有無をもとにリアルリスクスコア0~1000点で数値化されるため、対策の優先度を細かく設定できます。
  • ホスト資産の脆弱性や脅威状況を可視化できるダッシュボード機能は、リスクのあるアセットを迅速で柔軟に検索でき、状況の把握を効率よく行えます。

「QualysGuard VM」
プラットフォーム診断用
(クラウド型)
  • SaaS型サービスとなるため、自社に診断用環境の構築が不要(ただし、イントラネットの場合はアプライアンス設置が必要)。
  • 検出した脆弱性を「Confirmed(存在を確認された脆弱性)」と「Potential(潜在的な脆弱性)」種類に分けられるため、優先すべき脆弱性がわかりやすくなります。
  • 脆弱性の管理機能が充実しています。診断ごとに、脆弱性のステータスが自動で更新されるため、容易に脆弱性が管理できます。

「Vulnerability Explorer(Vex)」
Webアプリケーション診断用
  • 脆弱性の検出精度が高い純国産のWebアプリケーション診断ツール。
  • 診断開始URLからの自動クローリング、ブラウザ操作による入力、各フォームのパラメータ個別設定ができるなど、柔軟な診断設定が可能です。
  • ツール上で診断対象の画面や相違率(ブラウザ操作とツール結果とのレスポンス差分)やエラー内容を確認できるため、エラーハンドリングが容易です。
  • 脆弱性結果レポート出力に加え、画面遷移図(Excel)や、「IPA 安全なWebサイトの作り方」「OWASP TOP10」「PCI DSS」の準拠状況をマッピングしたレポート出力が可能です。

価格

お客様のご依頼(lai)内容によりますので、個別にお見積もりいたします。お気(qi)軽にお問い合わせください。

「セキュリティ診断内製化支援」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top