AI型 / 手動型 セキュリティ診断サービス「RayAegis」
RayAegis について
RayAegis(レイ・イージス)は、政府機関や金融機関・大手製造業・交通システムなどのシステムのセキュリティコンサルティングとして活躍する、全世界で250名を超える技術力の高いホワイトハッカー・セキュリティエンジニア集団です。
RayAegis の技術チームは、アメリカのカーネギーメロン大学・パデュー大学、国立台湾大学の電気情報学科のコンピュータおよび情報セキュリティの修士・博士の学位取得者や、CISSP / CISM / CEH などの、情報セキュリティの各種資格を取得している専門家といった優秀なセキュリティエンジニアで構成されています。
長年の経験から、ハッカーの手口・技術や管理方法がいかに組み合わされるか深い知識を有しており、ハッカーや従業員による不正入手を防ぐことを含めて企業の機密情報を保護します。
世界最先端のセキュリティとAIの技術を組み合わせ、RayAegis が開発した「RayScanner」と「RayInvader」は、米国政府と同期した独自情報を含むデータベースを使用して、Webサイトやアプリケーションがハッキングされているかどうか、また、ゼロデイなどの未知の脆弱性をも効率的に確認し、最も厳しい国際基準を満たしたセキュリティサービスを提供します。
RayAegis のサービス特徴
悪意のあるハッカーは、企業システムへの攻撃やデータを盗むにあたり、技術の進歩に伴って 高度なプログラムや攻撃ツールを活用するようになりました。攻撃手法全体としても、単一の脆弱性をつく攻撃より、効果や状況に応じて複数の脆弱性を併用するなど、有効な手法に絞って変遷しながら、システム全体の中から弱い点をついて攻撃するマルチベクトル型攻撃が主流になっています。
このような様々なセキュリティの課題に対し、RayAegis では、深いセキュリティの知見と合わせてAIをはじめとした業界トップレベルのテクノロジーを活用し、「より簡単に・より短い期間で・より安価に・より高度な」セキュリティ診断サービスのプランをご用意しています。
| 診断対象 | ・Webアプリケーション ・ソフトウェア ・ホスト ・OS / プラットフォーム ・モバイル機器 ・IoT機器 ・ネットワーク機器 |
| 診断内容 | ・Webセキュリティ ・システムサービス拒否(DoS) ・データ漏洩 ・認証管理 ・DBセキュリティ ・その他カスタマイズされた診断項目 |
| 診断ツール | ・50種以上のツールの中から、段階ごとに異なるツールを使用 ・各種汎用ツール向けの独自開発自動化プラグイン ・セキュリティエンジニアによる手動での診断テスト ・独自開発のAIツール「RayScanner」「RayInvader」 |
| 国際基準 | ・NIST SP800-115 ・OWASP TOP10 ・OWASP IoT TOP10 ・OSSTMM ・PCI DSS Compliance |
セキュリティ診断サービスのプラン
いずれのサービスも他社とは異なる提供方式として、ページ数・リクエスト数に関係しない「サブドメイン単位(FQDN単位)」のシンプルな価格体系のため、費用対効果の高いサービスとして提供いたします。
| AIクイックツール脆弱性診断 | AIリモート脆弱性診断 | ペネトレーションテスト | モバイルアプリ診断 | |
| 特徴 | 独自開発の各種ツールによる高度な自動脆弱性診断 | 独自開発の各種ツールによる高度かつ網羅的な脆弱性診断 | エクスプロイト自動生成が可能なAIツールを活用し、ゼロデイ攻撃も組み合わせた高度な侵入試験(脆弱性診断を含む) | モバイルアプリパッケージ単体の高速ツール診断(サーバー側認証・認可系はAPI診断オプションで対応) |
| 診断対象 | プラットフォーム+Webアプリケーション | Webアプリケーション・イントラネット など | モバイルアプリ・アプリ接続先API | |
| 診断項目 | 45項目 | 68項目 ~ 99項目 | 100項目 | OWASP TOP10 Mobile Risk基準 |
| 診断手法 | AIツールを含むリモート診断 | セキュリティエンジニアによる AIツール+手動リモート診断 | AIツールによるパッケージ診断(API診断は手動診断を含む) | |
| 診断期間 | 1営業日 | 3~5営業日 | 1~3週間 | アプリ単体:1営業日 API:3~5営業日 |
| 料金体系 | サブドメイン / FQDN単位の定額料金(ペネトレーションテストではWebサーバー以外はIP /ホスト単位で課金) | アプリケーションパッケージ / APIサーバー単位の定額料金 | ||
| 報告形式 | セキュリティエンジニアによるレビュー済み報告書 | セキュリティエンジニアによるレビュー済み報告書+報告会 | セキュリティエンジニアによるレビュー済み報告書 | |
| アフターサポート | 再診断付き (初回診断後 1ヶ月以内) |
再診断付き (初回診断後 3ヶ月以内) |
・詳細な修正手順に関するQ&A 対応 ・再診断付き (初回診断後 1年以内) |
・アプリ単体再診断:オプション ・API再診断:オプションに含む |
セキュリティ診断サービスの検査項目
それぞれのセキュリティ診断サービスでは、OWASP などの規格に準拠した試験項目をもとに診断を実施します。実施する主な診断テストの項目は以下の通りです。
| 主な検査項目 | 検査項目の概要 |
| 情報収集 | 対象環境の各サーバー・アプリケーションなどの プラットフォーム情報の収集 |
| 設定と構成管理の検査 | 許可されているメソッドやネットワークやアプリケーション構成に関する脆弱性 |
| アイデンティティ管理の検査 | ユーザー登録やロール設定などアカウント管理に関する脆弱性 |
| 認証の検査 | 認証情報の安全な転送方法やパスワードポリシーなど認証に関する脆弱性 |
| 承認の検査 | 承認の迂回などに関する脆弱性 |
| セッション管理の検査 | セッション管理スキームの迂回などの脆弱性 |
| データ検証の検査 | SQLインジェクションやクロスサイトスクリプティングなどデータ検証に関する脆弱性 |
| エラー制御の検査 | 返答されるエラーコードなどエラー制御に関する脆弱性 |
| 暗号化の検査 | 不十分な暗号化やパディングオラクル攻撃などの脆弱性 |
| ビジネスロジックの検査 | アプリケーションプロセスなどビジネスロジックに関する脆弱性 |
| クライアントサイドの検査 | HTMLやCSSインジェクションやJavaScript例外などクライアント側に関する脆弱性 |
