Synackが提供するセキュリティ・テストとは?
あなたのシステムは外部からの侵入に対してどの程度の耐性を持っているでしょうか?システムの脆弱性や問題点を抽出し、これを改善することはシステムの安全性を担保するための最も基本的な事項です。
Synackは、世界で最も熟練したエシカルハッカーとAIテクノロジーの統合によって生み出された、極めて強力なオンデマンドセキュリティ・テストサービスであり、その手法はクラウドソーシングを活用したバグ・バウンティのスタイルです。
また、Synackに参加している1500名以上のエシカルハッカーは、侵入や攻撃のスキルの高さだけでなく、エシカル(倫理的)であることを厳重に確認されたハッカーの集団です。さらにテストの安全性を高めるため、Synackのセキュリティ・テストはSyackが用意する環境からのみ実施することができるようになっており、そのテスト内容・操作はすべて記録されます。
バグ・バウンティの効果と安全性
Synackは2013年の設立以来、バグ・バウンティとエシカルハッカーの組み合わせによる、画期的なセキュリティ・テストを提供してきました。バグ・バウンティがシステムやネットワークの問題点の検出に非常に大きな効果があるという点は、世界中の有名企業が自社システムや製品ソリューションの安全性を向上させるためにバグ・バウンティ・プログラムを運用していることからもわかります。
米国では、最もハイレベルなセキュリティが要求される組織の代表ともいえる「国防総省(Pentagon)」によって、2016年春にバグ・バウンティのパイロットプログラム「Hack the Pentagon」が実施されました。Synackはこのプログラムに参加し、延べ100名/7000時間以上のリソースを投入した結果、発見した脆弱性は138個におよび、また、そのコストパフォーマンスは従来手法の7分の1という驚異的なものとなりました。
この結果を受けて国防総省はプロジェクトの継続を決定し、2018年より$34Mを上限としたプログラムを開始しました。Synackは、より機密度の高いシステムの指定検査ベンダーとして国防総省との契約を締結しています。
バグ・バウンティは、個々のテスターにとっては問題点の発見が直接自身の収入につながるため、大変高いモチベーションでテストに取り組むことになります。その一方、一般的なバグ・バウンティは参加する個人の信頼性を十分に検証することが難しく、すべてのテスターが倫理的に取り組むことが保証されるわけではありません。
Synackはこの問題を解決するため、テスターのスキルだけでなく、身元調査まで実施し、その人物が信用するに足るかどうかを見極めています。また、「Synackプラットフォーム」を構築し、テストに参加して報酬を得るためには、必ずこのプラットフォームを通してテスト実施することをテスターに義務付けています。
「Synackプラットフォーム」では許可されたテスター以外の利用は許されず、プラットフォーム上で実施されたすべてのテストのトラフィックはフルパケットキャプチャ―されて保存されます。この仕組みにより、テスターが万一悪意を持った行為を実施した場合、証拠が全て記録されていることになるため、悪意を持った行為に対する強力な抑制効果が期待されます。これが、Synackのサービスが「The Most Trusted Crowdsourced Security Platform(最も信頼性の高いクラウドソーシングセキュリティプラットフォーム)」と言われる理由なのです。
Synack Red Team (SRT)
Synackが採用したエシカルハッカーは、スキルセットや経験、対応可能な言語などによりチーミングされており、それらのチームはSRT(Synack Red Team)と呼ばれています。各チームにはチームをリードするハイスキルで信頼性の高いエシカルハッカーが所属しており、チームをリードします。
Synack Japanに所属するトップクラスのエシカルハッカーの「JUNGLETSUBASA(ジャングルツバサ)」をご紹介しましょう。CCNP, CCIE, LPIC2, Synack Red Team Level 4 のスキルを有する彼は、ルーマニアの大学を卒業後2010年秋に来日し、サイバーセキュリティの外資企業やセキュリティ関連の日本企業で経験を重ねて、2019年からバグ・バウンティ活動を開始しました。2020年8月からSynackのエシカルハッカー集団SRTのメンバーとして活動を行いながら、2021年7月よりSynack Japanのプログラムマネージャーとして活躍中です。
その他のエシカルハッカーたちはこちらで紹介しています。どんな強者がいるのか、ちょっと覗いてみてください。
Synackによってもたらされる効果
Synackのサービスをご利用いただくことで4つの効果がもたらされます。
- 攻撃への耐性向上
- 24/7の防御
- ROI
- Efficient&Effective
従来の脆弱性診断サービスとは一線を画していることがお分かりいただけると思います。
最近では、システムの脆弱性が国の組織から指摘を受けるにとどまらず、罰則の対象になるなどの海外事例が見られるようになりました。すべての企業・組織にとって、脆弱性のチェックと対策は、放置することのできない必須の活動となったのです。より効果的でローコストなテストサービスを利用する事が大変重要であることは、もはや疑う余地がありません。
プロモーションについて
テリロジーワークスでは、当社が提供するスレットインテリジェンスサービスのお客様を中心に、Synackの卓越したセキュリティ・テストサービスをご紹介することにより、より強固なセキュリティを顧客に提供してまいります。もちろん、Synackのサービスを単体で必要とされるお客様にも、ご案内してまいります。
昨年末のlog4j脆弱性の発覚により全世界が対応に追われましたが、現実の問題として、自社システムに問題があるのかないのかが明確にできない、という声が多く聞かれました。システムの進化とともに脆弱性も増えていきます。脆弱性対応は継続的に行われなくてはなりません。
弊社では、お客様がSynackのサービスを気軽にご利用いただけるキャンペーンやプロモーションを計画しております。ご興味をいただけましたら、是非以下のリンクからお問い合わせください。