セキュリティ診断サービス「RayAegis」

RayAegis(レイ・イージス)について

RayAegis(レイ・イージス)は、政府機関 や 金融機関・大手製造業・交通システム などのシステムのセキュリティコンサルティングとして活躍する、全世界で250名を超える技術力の高いホワイトハッカー・セキュリティエンジニア集団です。

RayAegis(レイ・イージス)の技術チームはアメリカ・カーネギーメロン大学、パデュー大学、国立台湾大学の電気情報学科のコンピュータ及び情報セキュリティの修士・博士の学位取得者や、CISSP / CISM / CEH などの情報セキュリティの各種資格を取得している専門家といった優秀なセキュリティエンジニアで構成されています。

長年の経験から、ハッカーの手口及び技術や管理方法が いかに組み合わされるか深い知識を有しており、ハッカーや従業員による不正入手を防ぐことを含めて、企業の機密情報を保護します。

世界最先端のセキュリティとAIの技術を組み合わせ、RayAegis(レイ・イージス)が開発した「RayScanner」と「RayInvader」は、米国政府と同期した独自情報を含むデータベースを使用して、Webサイトやアプリケーションがハッキングされているかどうか、また、ゼロデイなどの未知の脆弱性をも効率的に確認し、最も厳しい国際基準を満たしたセキュリティサービスを提供します。

RayAegis サービス詳細 RayAegis(レイ・イージス)

RayAegis(レイ・イージス) のサービス特徴

悪意のあるハッカーは、企業システムへの攻撃やデータを盗むにあたり、技術の進歩に伴って 高度なプログラムや攻撃ツールを活用するようになりました。攻撃手法全体としても、単一の脆弱性をつく攻撃より、効果や状況に応じて複数の脆弱性を併用・組み合わせるなど、有効な手法に絞って変遷しながらシステム全体の中から弱い点をついて攻撃するマルチベクトル型攻撃が主流になっています。

このような様々なセキュリティの課題に対し RayAegis(レイ・イージス)では、深いセキュリティの知見と合わせてAIをはじめとした業界トップレベルのテクノロジーを活用し「より簡単に・より短い期間で・より安価に・より高度な」セキュリティ診断サービスのプランをご用意しています。

診断対象 ・Webアプリケーション
・ソフトウェア
・ホスト
・OS / プラットフォーム
・モバイル機器
・IoT機器
・ネットワーク機器
診断内容 ・Webセキュリティ
・システムサービス拒否(DoS)
・データ漏洩
・認証管理
・DBセキュリティ
・その他カスタマイズされた診断項目
診断ツール ・50種以上のツールの中から、段階ごとに異なるツールを使用
・各種汎用ツール向けの独自開発自動化プラグイン
・セキュリティエンジニアによる手動での診断テスト
・独自開発のAIツール「RayScanner」「RayInvader」
国際基準 ・NIST SP800-115
・OWASP TOP10
・OWASP IoT TOP10
・OSSTMM
・PCI DSS Compliance

セキュリティ診断サービス のプラン

いずれのサービスも他社とは異なる提供方式としてページ数・リクエスト数に関係しない「サブドメイン単位(FQDN単位)」のシンプルな価格体系のため、費用対効果の高いサービスとして提供いたします。

AIクイックツール脆弱性診断 AIリモート脆弱性診断 ペネトレーションテスト モバイルアプリ診断
特徴 独自開発の各種ツールによる高度な自動脆弱性診断 独自開発の各種ツールによる高度かつ網羅的な脆弱性診断 エクスプロイト自動生成が可能なAIツールを活用し、ゼロデイ攻撃も組み合わせた高度な侵入試験(脆弱性診断を含む) モバイルアプリパッケージ単体の高速ツール診断(サーバー側認証・認可系はAPI診断オプションで対応)
診断対象 プラットフォーム+Webアプリケーション Webアプリケーション・イントラネット など モバイルアプリ・アプリ接続先API
診断項目 45項目 68項目 ~ 99項目 100項目 OWASP TOP10 Mobile Risk基準
診断手法 AIツールを含むリモート診断 セキュリティエンジニアによる AIツール+手動リモート診断 AIツールによるパッケージ診断(API診断は手動診断を含む)
診断期間 1営業日 3~5営業日 1~3週間 アプリ単体:1営業日
API:3~5営業日
料金体系 サブドメイン / FQDN単位の定額料金(ペネトレーションテストではWebサーバー以外はIP /ホスト単位で課金) アプリケーションパッケージ / APIサーバー単位の定額料金
報告形式 セキュリティエンジニアによるレビュー済み報告書 セキュリティエンジニアによるレビュー済み報告書+報告会 セキュリティエンジニアによるレビュー済み報告書
アフターサポート 再診断付き
(初回診断後 1ヶ月以内)
再診断付き
(初回診断後 3ヶ月以内)
・詳細な修正手順に関するQ&A 対応
・再診断付き
(初回診断後 1年以内)
・アプリ単体再診断:オプション
・API再診断:オプションに含む

セキュリティ診断サービス の検査項目

それぞれのセキュリティ診断サービスでは、OWASPなどの規格に準拠した試験項目をもとに診断を実施します。実施する主な診断テストの項目は以下の通りです。

主な検査項目 検査項目の概要
情報収集 対象環境の各サーバー・アプリケーションなどの プラットフォーム情報の収集
設定と構成管理の検査 許可されているメソッドやネットワークやアプリケーション構成に関する脆弱性
アイデンティティ管理の検査 ユーザー登録やロール設定などアカウント管理に関する脆弱性
認証の検査 認証情報の安全な転送方法やパスワードポリシーなど認証に関する脆弱性
承認の検査 承認の迂回などに関する脆弱性
セッション管理の検査 セッション管理スキームの迂回などの脆弱性
データ検証の検査 SQLインジェクションやクロスサイトスクリプティングなどデータ検証に関する脆弱性
エラー制御の検査 返答されるエラーコードなどエラー制御に関する脆弱性
暗号化の検査 不十分な暗号化やパディングオラクル攻撃などの脆弱性
ビジネスロジックの検査 アプリケーションプロセスなどビジネスロジックに関する脆弱性
クライアントサイドの検査 HTMLやCSSインジェクションやJavaScript例外などクライアント側に関する脆弱性