MCSSP事業を展開するアイティーエム、SPA(Single-Page Application)に特化したWebアプリケーション診断(SPA診断)とWebペネトレーションテストの提供を開始
2023年7月24日(月)11時0分 @Press
さくらインターネットグループのアイティーエム株式会社(本社:東京都新宿区、代表取締役社長:河本 剛志、以下、アイティーエム)は、Managed Cloud & Security Service Provider(MCSSP)事業の一環として、アプリケーション・セキュリティ対策(開発者のためのセキュリティ対策/Security for Developers)に取り組んでおり、その第一弾として「SPA診断とWebペネトレーションテスト」を2023年7月24日に提供開始します。
■サービス提供の背景
ゼロ・トラストに加えあらゆるものがソフトウェア化/DX化に向かう昨今、様々な“もの”や“こと”がソフトウェア化しており、その代表であるWebアプリケーションは多くのビジネス価値を生み出す存在となっております。(Software is eating the world. Marc Andreessen in 2011. https://a16z.com/2011/08/20/why-software-is-eating-the-world/ )
しかし、このように事業者/開発者にとって価値あるものは、攻撃者にとっても同様であるとGoogle社は“State of API Economy 2021 Report”で述べており、新しいテクノロジーを有するWebアプリケーションのセキュリティ対策は開発者にとって益々頭痛の種となっております。(OWASP Top10も2021年に大幅に見直し、 https://owasp.org/Top10/ja/ )
そこで、当社はこのようなソフトウェア開発者の問題を解決すべくアプリケーション・セキュリティ対策の強化に取り組んでおり、今回SPA診断とWebペネトレーションテストを提供するに至りました。
■SPA診断の特徴
OWASP Testing Guideをベースにした診断項目に加えSPA固有のテクニカルリスクを、高度なハッキングスキルを有するペネトレーションテスターがフロントエンド(JavaScript/Framework)とバックエンド(API)の両方を診断します。
SPA固有のリスクポイント
1) クライアントサイドの脆弱性
2) 認証とセッション管理
3) クロスサイトリクエストフォージェリ(CSRF)
4) クライアントサイドのデータ保護
SPA診断サービスの詳細
https://www.itmanage.co.jp/security/sitescan/spa/
■ペネトレーションテストの必要性
いまや企業におけるセキュリティ対策は、必須の取組みとなっており、多くの企業が多層防御によるセキュリティ対策を実施しています。しかし、サイバーセキュリティは防御側より攻撃側が有利であり、最近の攻撃は明確な目的を持って、組織的に戦略的にかつ計画的な攻撃の傾向があると多くの専門家が指摘をしております。
このような状況化でセキュリティ診断は、従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用いどのような脅威が潜んでいるのかを調査する方法が注目されはじめております。
※諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について-金融庁報告平成30年5月16日をご参照
特に重要な機密情報を保有するシステムにおいては、より高度化するセキュリティ脅威に対し、より実戦的なセキュリティ対策の強化が求められはじめています。
■Webペネトレーションテストの特徴
一般的なペネトレーションテストは、ネットワークペネトレーションですが、アイティーエムが提供するのは、Webアプリケーションをターゲットとしたペネトレーションテストとなり、Webアプリケーション診断では非対応となるWebSocket, RTSPのような非httpプロトコルにも対応していることが特徴です。
1) DEFCON, CODE BLUEなどのハッキングコンテストで優秀な成績を持つアジアでもトップクラスの企業との協業で提供(300件以上のZero Dayの報告実績を有する)
2) NIST SP800-115に基づく実施プロセスと、実際にハッカーが用いる攻撃手法を用いた実用的なテスト
3) リーズナブルな価格で充実したテスト内容、ペネトレーションテストの計画立案から支援
ペネトレーションテストの有用性は、NIST SP800-115でも以下のように示されています。
・システムが現実世界で利用されている攻撃パターンにどれだけ耐えられるか
・攻撃者がシステムを侵害するために、取り得る高度な戦術やテクニックの理解
・システムに対する脅威を軽減できる追加の対策
・攻撃を検出して適切に対応する防御者の能力
ペネトレーションテストの詳細
https://www.itmanage.co.jp/security/penetration-testing/
■アイティーエム株式会社 会社概要
商号 : アイティーエム株式会社
設立 : 2017年1月4日
代表者 : 代表取締役社長 河本 剛志
所在地 : 東京都新宿区西新宿7-20-1 住友不動産西新宿ビル
Webサイト: https://www.itmanage.co.jp/
事業内容 :
Managed Service Provider(MSP)事業の草分け的存在としてシステム運用監視サービスの提供を通じて、さまざまな業種、業態のお客様から高評価をいただいております。また、クラウド、データセンター、セキュリティサービスなど、エンタープライズのお客様を中心に各種サービスをご提供させていただいているサービス事業者です。
本リリースに記載されたすべてのブランドや製品は各社の商標または登録商標です。記載の商品名、価格および担当部署、担当者、WebサイトのURLなどは、本リリース発表時点のものです。
詳細はこちら
プレスリリース提供元:@Press
■サービス提供の背景
ゼロ・トラストに加えあらゆるものがソフトウェア化/DX化に向かう昨今、様々な“もの”や“こと”がソフトウェア化しており、その代表であるWebアプリケーションは多くのビジネス価値を生み出す存在となっております。(Software is eating the world. Marc Andreessen in 2011. https://a16z.com/2011/08/20/why-software-is-eating-the-world/ )
しかし、このように事業者/開発者にとって価値あるものは、攻撃者にとっても同様であるとGoogle社は“State of API Economy 2021 Report”で述べており、新しいテクノロジーを有するWebアプリケーションのセキュリティ対策は開発者にとって益々頭痛の種となっております。(OWASP Top10も2021年に大幅に見直し、 https://owasp.org/Top10/ja/ )
そこで、当社はこのようなソフトウェア開発者の問題を解決すべくアプリケーション・セキュリティ対策の強化に取り組んでおり、今回SPA診断とWebペネトレーションテストを提供するに至りました。
■SPA診断の特徴
OWASP Testing Guideをベースにした診断項目に加えSPA固有のテクニカルリスクを、高度なハッキングスキルを有するペネトレーションテスターがフロントエンド(JavaScript/Framework)とバックエンド(API)の両方を診断します。
SPA固有のリスクポイント
1) クライアントサイドの脆弱性
2) 認証とセッション管理
3) クロスサイトリクエストフォージェリ(CSRF)
4) クライアントサイドのデータ保護
SPA診断サービスの詳細
https://www.itmanage.co.jp/security/sitescan/spa/
■ペネトレーションテストの必要性
いまや企業におけるセキュリティ対策は、必須の取組みとなっており、多くの企業が多層防御によるセキュリティ対策を実施しています。しかし、サイバーセキュリティは防御側より攻撃側が有利であり、最近の攻撃は明確な目的を持って、組織的に戦略的にかつ計画的な攻撃の傾向があると多くの専門家が指摘をしております。
このような状況化でセキュリティ診断は、従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用いどのような脅威が潜んでいるのかを調査する方法が注目されはじめております。
※諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について-金融庁報告平成30年5月16日をご参照
特に重要な機密情報を保有するシステムにおいては、より高度化するセキュリティ脅威に対し、より実戦的なセキュリティ対策の強化が求められはじめています。
■Webペネトレーションテストの特徴
一般的なペネトレーションテストは、ネットワークペネトレーションですが、アイティーエムが提供するのは、Webアプリケーションをターゲットとしたペネトレーションテストとなり、Webアプリケーション診断では非対応となるWebSocket, RTSPのような非httpプロトコルにも対応していることが特徴です。
1) DEFCON, CODE BLUEなどのハッキングコンテストで優秀な成績を持つアジアでもトップクラスの企業との協業で提供(300件以上のZero Dayの報告実績を有する)
2) NIST SP800-115に基づく実施プロセスと、実際にハッカーが用いる攻撃手法を用いた実用的なテスト
3) リーズナブルな価格で充実したテスト内容、ペネトレーションテストの計画立案から支援
ペネトレーションテストの有用性は、NIST SP800-115でも以下のように示されています。
・システムが現実世界で利用されている攻撃パターンにどれだけ耐えられるか
・攻撃者がシステムを侵害するために、取り得る高度な戦術やテクニックの理解
・システムに対する脅威を軽減できる追加の対策
・攻撃を検出して適切に対応する防御者の能力
ペネトレーションテストの詳細
https://www.itmanage.co.jp/security/penetration-testing/
■アイティーエム株式会社 会社概要
商号 : アイティーエム株式会社
設立 : 2017年1月4日
代表者 : 代表取締役社長 河本 剛志
所在地 : 東京都新宿区西新宿7-20-1 住友不動産西新宿ビル
Webサイト: https://www.itmanage.co.jp/
事業内容 :
Managed Service Provider(MSP)事業の草分け的存在としてシステム運用監視サービスの提供を通じて、さまざまな業種、業態のお客様から高評価をいただいております。また、クラウド、データセンター、セキュリティサービスなど、エンタープライズのお客様を中心に各種サービスをご提供させていただいているサービス事業者です。
本リリースに記載されたすべてのブランドや製品は各社の商標または登録商標です。記載の商品名、価格および担当部署、担当者、WebサイトのURLなどは、本リリース発表時点のものです。
詳細はこちら
プレスリリース提供元:@Press
