セキュアなデリバリーを実現する QCDの高いセキュリティテストサービス

Cigital3DSecurityTes3ng“TestasaService”

2016年1月

Asterisk法人サポート・セールス窓口

support@rsrch.jp

ASTERISKRESEARCH,INC.株式会社アスタリスク・リサーチ

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.1

従来のセキュリティテスト：QCD のいずれにも深刻な問題がある

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.2

1)  Quality: テストの手段も結果もわかりにくい –  ツールのアウトプットだけでは、エキスパートが介在せず不正確なことがある。 –  脆弱性などの問題が指摘されるだけで、改善するためのフィードバックとして不足。

2)  Cost: テストのコストが高額 –  アウトソースしても１テスト数百万円かかる。 –  プロ・ツールの多くはプロジェクトが異なると追加課金される。 –  繰り返しテストしたくても、コスト面でとうてい困難

3)  Delivery: 必要なスケジュールで必要なテストができない –  テストのかなり前にアプリケーションテストのスケジュールと深度を決める必要がある。 –  優秀なテスト担当者のリソースも不足している。

Cigital3DQCDの大幅な改善を実現できます。

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.3

1.  Quality: 開発セキュリティ専門会社 Cigital のテストとレポート –  Cigital の有資格社員による、グローバルのテスト・リソースとノウハウを活用。 –  ウェブアプリケーション、モバイルアプリ(Android, iOS)に対応。 –  AppScanを含めプロフェッショナルツールを20以上利用し、かつ有効な結果 のみにふるい落としたうえで、分析し、わかりやすい改善提案を提供。

–  ダッシュボードから、脆弱性についての各種レポートをダウンロード可能。

2.  Cost: 年間コストフィックスモデルにより劇的なコストメリットを実現 –  テスト担当者1～2名の雇用、あるいは数回のテスト発注より安価なプライシング。 –  プロ・テストツールのライセンスコストに悩まされることもありません。 –  全テストには3名がアサインされ、しかも全営業日に発注していただけますので

人事面の心配も不要。御社のテスト担当者にとってもレバレッジが効きます。

3.  Delivery: オンラインポータルからカレンダーでテスト日程をアサイン –  日程が重複しない限り、何度でも、いくつでも、プロジェクトをセキュリティテストに

かけられます。 –  テストをオーダーしてから、深度の変更も可能です。 –  日程重複が必要な場合には、アラカルト・オプションで対応可能です。

Cigital3Dは、お客様のセキュアなデリバリーを効果的に実現します。

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.4

CIGITAL•  米国最大のソフトウェアセキュリティに特化

したコンサルティング企業•  コードレビュー、ペネトレーションテストなど

20年以上の実績＆ノウハウ•  必要なスキルセットを組み合わせた体制で

最適な手法でテストを実現、そして解説

ASTERISKRESEARCH

•  レポートの日本語化＆説明•  日本語での丁寧なローカルサポート•  改善に向けてのセキュア開発のご支援

※上記のサービスはオプションとしてご提供しております。

お客様1.  オンラインポータルから、いつでもテストスケジュールをアサイン

2.  システムの種別・複雑さに合わせて、テストメニューを設定・調整

3.  レポート＆セキュリティエキスパートとの相談から、スピーディーに改善

セキュアなデリバリー実現のQCDの向上

日本でのエキスパート対応による

ローカルサポートの充実

x

3DSecurityTestasaServiceオンラインポータルによる一元管理

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.5

わかりやすい日本語インターフェース

テストスケジュールの一元管理が簡単

テストの進捗状況、テスト別の統計情報

レポートダウンロード

SecurityTestasaServiceの簡単なプロセス

SCOPE

• テスト対象の登録• 深度設定

• 追加の詳細なテスト設定も可能

SCHEDULE

• スケジュール設定

TEST

• さまざまなテスト• 改善に向けた分析

REPORT

• レポート• フォローアップ

3DSecurityTestasaService活用しやすいレポート　 日本語への翻訳もご依頼可能

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.6

HighPriorityFindingsVerScalPrivilegeEscalaSonDescrip3on:•  VerScalprivilegeescalaSonoccurswhenit‘spossiblefor

anunauthenScatedorlowerprivilegedusertoaccessresourcesor….

Instances:•  www.genericlabs.com/ep/login

Evidence:

Likelihood:HighImpact:HighRemedia3on:•  EnStlementchecksshouldbeperformedontheserver

oneveryrequesttovalidatethattheuserhastheneededprivileges….読みやすいレポートとの定評があります。

オプションで部分的に日本語化のご依頼も可能です。

レポートは、シンプルで明快な構成で、活用・改善にスムーズにお使いになれます。

脆弱性の解説、脆弱性の影響、再現方法に加え、すぐに使える改善提案も含みます。

3DSecurityTestasaServiceペネトレーションテスト内容のイメージ

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.7

テストの種類 概要 対象レポートまでの

所要日数

DynamicSecurityScanning

DSS

複数の動的解析ツールを活用した、自動的なアプリケーションセキュリティテストと分析１ユーザロール対応（ログインユーザ、など）

開発中あるいは定期的な診断の対象となるアプリケーション 2営業日！

AutomatedEthicalHack

AEH

さまざまな専用ツールを組み合わせた、包括的なセキュリティテストとエキスパートによる分析２ユーザロール対応（一般ユーザと管理者など）

中程度リスクのアプリケーション、また改修 3営業日！

ManualEthicalHack

MEH

ツールによるテストに加え、より詳細な脅威モデリングを実施し、ビジネス・ロジックを分析。重要性の高いリスク及びクリティカルな脆弱性を特定するためのエキスパートによる手動の徹底的なセキュリティテストを実施。

クリティカルなデータやプロセスを扱うアプリケーション 5営業日！

需要に柔軟に対応できる、3種類のペネトレーションテストを年間固定年間サブスクリプションでオンデマンド・テストをアサイン

＊ツールについてはIBMAppScanをはじめ20以上の エキスパート・ツールを適切に組み合わせて実施します。

3DSecurityTestasaService各レベルごとの調査概要

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.8

検査のスコープにおける脆弱性監査レベル 動的

セキュリティ スキャン DSS

自動

ハッキングテスト AEH

手動

ハッキングテスト1 MEH1

手動

ハッキングテスト2 MEH2

アプリケーション範囲 2.1 未認証ページに対するセキュリティ脆弱性テスト ✔ ✔ ✔ ✔ 2.2 認証ページに対するセキュリティ脆弱性テスト ✔ ✔ ✔ ✔ 2.3 手動のセキュリティテストにおける顧客特有のチェックリスト

(20テストまで) ✔ ✔ ✔ 2.4 全ページに対する手動でのセキュリティ脆弱性テスト ✔ ✔ 2.5 リスクプロファイルに沿ったビジネスロジックテスト ✔ ✔

脆弱性発見 3.1 複数の自動スキャンツールを使った脆弱性発見 ✔ ✔ ✔ ✔ 3.2 ツールによるスキャン結果から、手動での誤検知

（false positives)の抑制 ✔ ✔ ✔ ✔ 3.3 OWASP Top 10, CWE/SANS Top 25などのクライテリア ✔ ✔ ✔ ✔ 3.4 1つのユーザロール（役割・権限設定）を用いた

アプリケーション検査 ✔ ✔ ✔ ✔ 3.5 2つのユーザロールを用いたアプリケーション検査 ✔ ✔ ✔ 3.6 垂直な権限エスカレーション ✔ ✔ ✔ 3.7 3種類のユーザロールまでを用いたアプリケーション検査 ✔ ✔ 3.8 水平な権限エスカレーション ✔ ✔ 3.9 ビジネスロジックフローの特定 ✔ ✔

状況を鑑みた実施可能なガイダンスの提供 4.1 Cigital社のエキスパートによる改善ガイダンス ✔ ✔ ✔ ✔ 4.2 関係者と開発者を含めたレポート説明のオンライン会議(英語) ✔ ✔ ✔

ありがとうございます

9

本資料に関するお問い合わせ

　　Cigitalサポートデスク　　　　support@rsrch.jp　　03-6380-9133

　　Partnerships/Alliances partners@rsrch.jp

　　Training/Educa3on edu@rsrch.jp

　　PurchaseEnquiries sales@rsrch.jp

　　CustomerSupport support@rsrch.jp

　　PR/Media press@rsrch.jp

株式会社アスタリスク・リサーチAsteriskResearch,Inc.　　〒101-0051 東京都千代田区神田神保町2-2-202　　haps://www.asteriskresearch.com/

|EnablingSecurityforDevelopers|©AsteriskResearch,Inc.