具体的な効果を観察・測定することで、リストに「まるばつ」を付けて評価するようなチェックボックスベースのコンプライアンスを上回る成果を達成できます。
固有の顧客専用のWebアプリケーション、一般的なCOTSアプリケーション、決済アプリケーション、API、ファットクライアント、その他カスタマイズされたタイプなど、さまざまなアプリケーションのセキュリティ上の弱点を特定し、対処することができます。これらのアプリケーションがもたらすリスクと、それらを狙う可能性が最も高い攻撃者が、何を目標としているかを把握します。
何を実現できるのか?
レジリエンスの構築
アプリケーションセキュリティ全体における予測、防御、検知、対応策を策定します。
予算の最適化
リスクの高い課題を優先的に改善し、重要性の高いアプリを重点的にテストします。
シフトレフト
アプリケーション開発チームと開発ライフサイクルに、セキュリティ原則を組み込みます。
リスク管理
コンテキストに沿った目標指向のテストにより、リスクマネジメントの意思決定を支援します。
ソフトウェアとその開発は現代のビジネスと同義であり、アプリケーションは企業にとって最も露出度の高い、インターネットに面したアセットです。このためアプリケーションのセキュリティは、オペレーショナルレジリエンスにとって重要な問題となっています。アセットのリストが増えるにつれ、ビジネスのニーズを考慮し、適切な予算とリスクの低減という観点から、テストは最高の投資対効果を達成しなければなりません。これに対応できる当社の創造的なソリューションは、試行錯誤を重ねたメソドロジーと、より広範な環境の中でアプリケーションを評価するためのダイナミックで実践的なアプローチを融合させたものです。セキュリティは目的であり、プロセスのための手順ではありません。
すべての事態を予測することは不可能かもしれませんが、最も大きな被害をもたらす事態を防ぐことは可能です。アプリケーションのテストでは、リスクに優先順位をつけ、その影響が最も大きく、測定可能なところに改善の目標を定めます。これは、攻撃者と同じ目線でアプリケーションを見ることから始まります。つまり、攻撃者の目標を考え、その影響を定量化し、その目標を達成するための脆弱性を見つけます。
私たちは、安全なコード開発、脅威のモデル化、デザインレビューなど、安全なソフトウェア開発ライフサイクル(S-SDLC:Secure Software Development LifeCycle)の原則をお客様のチーム内に導入することをサポートします。この作業は単独でも継続的にも行うことができ、共通のベストプラクティスや再利用可能なデザインパターンを特定し、脆弱性を早期に修正することで、潜在的な影響とリスクへの露出の両方を全体的に削減することができます。
私たちのビジョンは、アプリケーションを弾力的で攻撃を意識したものにすることであり、これはすでにアプリケーションレベルのパープルチーミングによって、お客様のプロジェクトで活用されています。
Webアプリケーションのペネトレーションテスト
リスクベースであれ、コンプライアンス主導であれ、お客様の最も大きな懸念に基づいたアプローチで、Webアプリケーションのペネトレーションテストを行います。技術の種類を評価するのではなく、ビジネス上の問題を解決することに注目することで、テストプロセスを合理化し、コンテキストに沿ったものにすることができます。
決済システムのテスト
決済システムが組織のセキュリティ態勢にどのような影響を及ぼしているかを総合的に把握します。当社からのレポートには、推奨される改善事項が添付されるため、企業の要求とプロバイダーのガイドラインに準拠するようにリスクへの露出を減らすことができます。
セキュアソフトウェア開発ライフサイクル(S-SDLC)のコンサルティング
ソフトウェア開発プロセスにセキュリティプラクティスを導入し、既に実施しているプラクティスを改善します。開発チームがセキュリティ手法のベストプラクティスを開発ライフサイクルに組み込めるように、サポートと教育を行います。
リスクに応じたテスト
事業継続を脅かす具体的な現実の脅威に基づいて、最も精査が必要な資産を優先してテストします。リスクに応じたテストは、攻撃の具体的な性質に対応して効率性を高められると同時に、お客様の組織を 規制に準拠させます。
脅威のモデリングとデザインレビュー
アプリケーションレベルのパープルチーム演習
モジュール化された反復的なアプローチにより、アプリケーションを攻撃から保護することができます。アプリケーションレベルのパープルチーム演習は、重要なアプリケーションの検知と対応の能力を向上させるために設計されており、コードの変更ではなく再利用可能な技術スタックを利用することによって、アプリケーションの個別および全体としての耐障害性を向上させることができます。
関連資料
セキュリティテストのためのリスクベースのアプローチ
一般的なセキュリティテストのアプローチは、「予算内でいくつのシステムをテストできるか」、「いくつの脆弱性を発見できるか」というように、量が前提になります。
もっと詳しくより安全な環境でSWIFTシステムをテストする
隔離された高セキュリティ環境では、必然のないアクセスは許可されません。他のシステムやセキュリティプロバイダーによ一時的なアクセスを必要とするセキュリティ評価をどのように行うのでしょうか?
もっと詳しく分析:SWIFTシステムへの攻撃と防御
2020年、11,000社のSWIFTメンバーによって1日あたり3,500万件の取引が実行されました。
もっと詳しくWhy tech not culture is key to devsecops security
Nearly half (48%) of all organizations [1] say that digital transformation is driving their DevOps teams to deploy faster.
Read moreBuilding detection and response for your most exposed assets
Web applications are arguably your organization’s most visible assets—critical to the business and more accessible than many others within your estate.
Read moreN1QL Injection: Kind of SQL Injection in a NoSQL Database
Nowadays, databases support various query languages, the most popular being SQL and NoSQL.
Read more- Slide 1
- Slide 2
WithSecureがサポートできること
私たちはアプリケーションのペネトレーションテストを提供する業界公認のグローバル企業であり、15年以上にわたってセキュリティアシュアランスサービスを提供してきました。当社のチームは、厳格で実績のあるテスト手法を使用して、実世界のさまざまな攻撃をシミュレートしています。
1
リサーチ
新しい技術や脅威を研究することで、私たちのソリューションは常に最新の状態に保たれています。
2
コンテキスト
ソリューションにとらわれない攻撃的なアプローチで、攻撃者が注目している脆弱性を突き止めます。
3
インパクト
リスクの高い脆弱性に絞ってテストを実施し、コストを最適化します。
4
コラボレーション
私たちのコンサルティングはお客様のチームの延長線上にあり、サイバーセキュリティを提供するための知識とスキルを育みます。
もっと詳しい話を聞いてみませんか?
右記のフォームにご記入ください。