Cigital 3D アプリケーション脆弱性テスト・マネージドサービス


問題:アプリケーションセキュリティ・テストのQ-C-D

cigital3d顧客や決済情報の情報漏えい、システム情報の漏えいなどのクリティカルな問題の大多数の原因は、インターネット向け・社内向けの両方のアプリケーション構築におけるセキュリティ脆弱性によるものです。これは企業の存続にさえ、深刻な影響を及ぼしています。そこで、少なくとも、出荷前に脆弱性テスト(ペンテスト)を実施することで、最低限、すぐに攻撃・悪用されるような問題には事前に対応する必要性が高いことは認識されてきました。

現実を直視しましょう。ウェブアプリケーション、モバイルアプリ、バックエンドAPI、管理機能、それらを配備するプラットフォームのいずれも攻撃対象となっています。それぞれの資産は、適切に設計され、セキュアに開発され、プロトタイプ、モジュール、ビルド後のすぺてのプロセスにおいて必要なテストを実施することが必要です。DevOpsのサイクルをリズムよく適切にまわすことを通し、確実にグリップ力のある改善を図っていかなければなりません。

日本国内にもソフトウェア開発に携わる企業は何千とあります。しかし、これほどたくさん開発体制があっても、それぞれ十分なセキュリティ検証体制を自前で調達することができるでしょうか。頼みの綱となるセキュリティ・テストはどれほど有効でしょうか。システムのセキュリティ確保を確信できる、適切なテストを採用できていますか。

これまで指摘されてきたセキュリティテストサービスに関する顧客の声
 QCD指標 問題
 Quality

品質に貢献するか

現状「テストをしても、結果を反映しにくい。」

  • たくさんの脆弱性を指摘するが、リスクの大きさ、影響範囲の判定基準がわかりにくい。
  • 読み解くことが難しい。脆弱性を修正したり、根本的に改善することに活かしにくい。
  • テスターに相談できない。なんと、さらに外部に再委託されることもある。
  • 開発チームへの貢献、教育効果のあるアドバイスはまず、ない。
 Cost

安くできるのか

現状:「脆弱性テストのコストは高額。ツールも高額で融通が効かない。」

  • テストにはその都度調整とコストが発生する。
  • プロジェクトごとにコストが発生する。
  • 早期テスト、繰り返しテストは難しい。
  • プロ検査ツールでは、プロジェクトが異なると別ライセンスとなる。
  • コスト圧縮のためテストする対象を絞らなければならず、結果として包括的なリスク対策にはならない。
 Delivery

リリースへの影響

現状「フレキシブルなスケジュールで、リスクに応じた必要なテストができない」

  • 調整段階でアプリケーションテストのスケジュールや対象、深度を決定する必要がある。
  • レポートが遅く、早期テスト、繰り返しテスト、修正確認テストをする時間がとれない。
  • 発注者の事業リスクやコンプライアンスに適合したテスト担当者のリソースはない。

参考資料をご覧ください。

適切なセキュリティテストはいかにしてビジネスに貢献するのか

リスクコントロールに貢献しない、コスト度外視の、しかも貢献も中途半端な脆弱性検査はもうやめたいことでしょう。

アプリケーションセキュリティ・テストによってもたらされるお客様のソフトウェア資産価値に貢献できるのかどうか調べるにはいくつかの視点がありますが、少なくとも次の3つのポイントを否定する専門家はいないことでしょう。

  1. ビジネスが保有するシステム・アプリケーション資産へのテストをどれほど網羅できるのか
  2. テスト対象、業界にそれぞれに適合したテストが適切な深度で実施できるのか
  3. テストにより発見した脆弱性問題をどうすれば良いのか、改善ガイダンスを得られるのか

ぜひ、資料をご覧ください。

セキュアなデリバリーを実現する QCDの高いセキュリティテストサービス

使い倒せるマネージド・サービスはビジネス要件に集中でき、限界突破できる有効な手段です。弊社は、米国Cigitalの保有するグローバルの「セキュリティテスト・ファーム」を共有し、年間固定コストでテストをアサインできるスキームをご提供します。

このチームは、さまざまなシステムのセキュリティ問題の発見のみならず、改善についても、クリティカルな環境に置かれてきました。このセキュリティテストチームに、Cigital 3Dが提供する「テスト・ポータル」で、オーダーすることができるサービスです。

cigital-3d2016-01-22 16.25.47「テスト・ポータル」は、1アカウントあたり、まっさらの1カレンダーが提供されます。そこにスケジュールできるだけ、テストする対象(上記の1)、テストの深度(上記の2)をアサインすることができます。テストの結果、報告レポートには、発見した脆弱性の概要、影響の深刻度、再現テスト手段、そして、プロアクティブ・コントロールすなわち開発者向けの構築におけるガイダンス(上記の3)が含まれます。

Cigital 3Dセキュリティテスト・マネージドサービスのデータシートをご覧ください。

テストチームは社内・グループ内にあるのが望ましいのではないでしょうか

社内にセキュリティ・テストの管理体制があることは望ましいことですが、システムが直面するあらゆる側面、システムのあらゆる形態に対応できるセキュリティテストを実施できるツール・スキルを揃えることはたいていペイしません。ウェブ、アプリなどそれぞれの異なる脅威を分析し、それに適合したテストを行うには、少なくとも「手」が足りません。

セキュリティ・テストツールは、”false negative”を大量に出しますし、それを分析し仕分けするのは容易ではありません。攻撃手法は日々変化していますし、防衛手段もまたそうです。ビジネスの変化、業界ごとのセキュリティ・コンプライアンスの変化に対応する必要もあります。
cigital-logo

Cigital 3Dのテスト・分析・レポート作成は、テスト・オーダーごとに、テスト対象のリスクプロファイルに適した3名の体制で実施します。”false negative”を取り除くことはもちろんのこと、根本的な改善のために必要なアドバイスを加えます。このサービスにより、既存のセキュリティチームに、常にリスクに目ざとい3名の専門チームを強い味方として加勢してもらうことが可能になります。

テストのバリエーション、レポートのデリバリー日数はどうでしょうか。

テストファームへの直接のオーダーが可能であるため、極めて迅速で、かつさまざまなテストを選択できます。データシートをぜひご取得ください。サンプルレポートも御要請くだされば提供します。

御社のシステムの何かの側面に対し、どんなレベルのレポートが得られるのか確かめるため、トライアルとしてテストをしてみられるようでしたら、ぜひご相談ください。

Cigital 3D “Security Test as a Service” のテスト深度例
Dynamic
Security Scanning
DSS
Automated

Ethical Hack

AEH

Manual Ethical Hack
MEH
  • 複数の動的解析ツールを活用した、自動的なアプリケーションセキュリティテストと分析
  • 1ユーザロール対応(ログインユーザ、など)
  • 所要日数:2営業日
  • さまざまな専用ツールを組み合わせた、包括的なセキュリティテストとエキスパートによる分析
  • 2ユーザロール対応(一般ユーザと管理者など)
  • 所要日数:3営業日
  • ツールによるテストに加え、より詳細な脅威モデリングを実施し、ビジネス・ロジックを分析。
  • 重要性の高いリスク及びクリティカルな脆弱性を特定するためのエキスパートによる手動の徹底的なセキュリティテストを実施。
  • 所要日数: 5営業日

cigital-3d2016-01-22 15.45.07

適切なセキュリティ・テストの選択肢として、セキュリティテスト・マネージドサービスをご検討ください。

チェックリスト「アプリケーションセキュリティテストサービスを評価するための10の質問」をご用意いたしました。また、Cigital 3D マネージドサービスについての詳細な資料、デモンストレーション、トライアルのご相談はこちらからご請求ください。