情報通信
IR情報 会社情報





セキュリティ診断サービス「Spirent SecurityLabs」 

Spirent Communications Inc(スパイレント コミュニケーションズ社)
セキュリティ診断サービス「Spirent SecurityLabs」
0
  • 1
  • サービスメニュー

    2
  • サービスの流れ

    3
  • 4

経験豊富なホワイトハッカーチームがSpirent社に加わり、ネットワーク、ワイヤレス、ウェブサイト、モバイルアプリケーション、デバイス、組込機器、自動車、IoTネットワークなど、様々な領域において総合的なスキャニング、ペネトレーション試験や、ソースコード解析を提供します。
分析結果と共に改善点を提案し、その点が修正されたかどうかの試験までを実施致します。
仮想通貨取引所の診断や、GDPR遵守に関する評価にも対応しております。

特長

Spirent SecurityLabsは様々なご要望に応じて対応可能なセキュリティ診断サービスです。
ベーシックレベルのスキャン(OWASP Top 10,SANS 20, PCI (6.5, 6.6)から、ペネトレーションテストまでご用途に合わせて選択いただけます。

スキャニングテスト、ペネトレーションテスト、プロトコルファジングテスト、静的コード解析などを実施し、テストレポート共に改善点を提案し、それが修正されたかどうかまで確認して結果を報告します。

グローバルで、NW機器ベンダー様、デバイスベンダー様、サービスプロバイダ様、政府機関様、金融機関様、大手エンタープライズ様など様々な業種のお客様へ診断サービスの提供実績があり、CRESTをはじめ、様々なハイレベルな技術認証を取得しております。
Pentest_1.jpg

Spirentの取得している主な認証

  • CREST (Global Certified Ethical Security Testers)
  • OSCP (Offensive Security Certified Professional)
  • CEH (Certified Ethical Hacker)
  • CISSP (Certified Information Systems Security Professional)
  • GXPN (GIAC Certified exploit researcher and advanced penetration tester)
  • CCENT (Cisco Certified Entry Networking Technician)
  • Cyber Essentials
  • CTIA

CRESTについてlink

CTIAについてlink

基本情報

ペネトレーションテストとは?

スキルを持った攻撃チームによるソフトウェア、インフラストラクチャ、ネットワークに対する攻撃です。セキュリティの弱点を探したり、情報にアクセスするために実際に侵入を試みます。
ペネトレーションテストは脆弱性評価に加えて実施されるテストです。 脆弱性評価は脆弱性を見つけ、ランク付けしそして必要な改善を提案します。 一方ペネトレーションテストは脆弱性を見つけるだけでなく、それらの脆弱性を利用して攻撃者が実行するであろう攻撃を試して結果を見ます。

ペネトレーションテストによってネットワークやIoTデバイス、ウェブ&モバイルアプリケーションの潜在的なセキュリティホールが分かります。 常に攻撃者より先行してこれらの試験を実施することでリスクを見つけ、回避することに役立ちます。

  • Embedded devices testing for IoT
  • Web Applications
  • Mobile applications security
  • Network security
  • Wireless network security
  • Source Code Analysis

Where to TEST

External: ファイアウォールの外側(インターネット側)からテスト&攻撃を実施
Internal: ファイアウォールの内側から、もしくはVPNを使って外側からテスト&攻撃を実施。下記のアプリケーションレイヤとネットワークレイヤテストが含まれます。通常、外部と内部の両方が典型的なペネトレーションテストの1部となります。
Application-layer: 安全でないアプリケーションデザインと設定を調べます。
Network-layer: 自動化されたツールがインフラストラクチャの設定を調査し、攻撃スペース、もしくは攻撃される可能性があるターゲットを明らかにします。

Typesh3 of TEST

Black-box: 依頼者は環境に関する事前情報を一切提供しません。何が見つかり、もっと隠すべきだということが明らかになります。
Grey-box: 依頼者はいくつかの事前情報を提供します。これによりインフラのある程度の部分が試験され、外部から何が見えてしまうかが明らかになります。
White-box: 依頼者は環境に関する様々な情報を提供します。このテストはセキュリティ防御システムに対して最大のプレッシャーを与える、もっともシビアな攻撃テストとなります。

Spirent SecurityLabs Methodology

securitylabs_1.png

LEADING SECURITY EXPERTS

  • 手動の確認試験とペンテストと合わせて使用される洗練されたスキャニングツール群
  • Global TOP 100企業や中小企業のコンサルで経験が長い熟練のセキュリティペネトレーションテストオペレータ
  • お客様の予算やテストニーズに合わせたスキャニングプロファイル
  • スキャンの深さ、頻度に基づくお客様のニーズに対応できる柔軟な診断ソリューション
  • コンプライアンススキャン(PCI, GLBA, HIPAA, SOX, MISRA, CERT etc.)
  • 実行可能な改善提案とリスク順位付けを含めたレポート
  • WAFの設定に利用できるレポート判定結果
  • 脆弱性のライフサイクルマネージメント;見つかった脆弱性が改善されるまで継続したテストで確認
Banner_professional-services.jpg

試験内容

Web Application

  • Input Validation
    • XSS
    • SQL Injection
    • BufferOveflow
    • Phishing
    • CSRF
    • Cookie Security
  • Authentication
  • Authorization Boundary
  • Encryption usage
  • Lockout
  • Brute force
  • SSL/TLS Weakness
  • Policy Compliance
  • Static Code Analysis

Mobile Application

  • Dynamic Analysis
  • Binary Code Analysis
  • Device End Security
    • Sensitive information stored in cache
    • Unencrypted Data Storage
    • Unrestricted File Upload
    • Files inspection
    • Excess Permissions and Privileges
    • Device Lockout policy
  • Authentication/ Authorization
  • Encryption usage

Network & Wireless

  • Insecure Sever Configuration
  • Default System Passwords
  • Unpatched systems
  • Known Vulnerabilities & Exploits
  • Insecure Firewall Configuration
  • Information Leakage
  • Improper Error Handling

Embedded Device

  • Device Firmware Analysis
  • Binary Code Analysis
  • Webservices review
  • Authentication bypass
  • Authorization logic
  • Encryption usage
  • Underlying Software & application evaluation

アプリケーション

Embedded devices testing for IoT

組込機器の流行に伴いセキュリティ侵害も取り沙汰されています。 Spirent社のペネトレーションテストがデバイスファームウェア、バイナリコード、関連するウェブサービスとhttp(s)通信にある悪用される可能性のある認証迂回、曖昧な承認境界、組込アプリケーションサーバ内のCSRF & XSS脆弱性といったウェブアプリケーションに潜む弱点を評価します。

Web Applications

ウェブサイト攻撃が増える中、侵入される前に脆弱性を見つけ修正できることが重要です。
ウェブアプリケーションと関連ホストの完全なペネトレーションテストを提供します。

重要な検証項目
  • Phishing
  • Session Security
  • Policy Compliance
  • Encryption Usage
  • Input Validation
  • Authentication & Authorization
Banner_SecurityLabs.jpg

Mobile applications security

Mobile-Apps.jpg

モバイルアプリケーションはあなたの顧客とビジネスパートナに利便性を提供します。同時に重要な顧客データへのアクセスを許すことになるバックドアも提供する可能性があります。動的解析、デバイスエンドセキュリティのためモバイルアプリケーションのバイナリコード、関連するウェブサービス、http(s)通信のぺネレーションテストを提供します。

Network security

ネットワークの中に入り込むスキャニングとペネトレーションテストにより安全でないサーバ設定、デフォルトシステムパスワード、既知の脆弱性に対するパッチの未適応、攻撃者のアクセスポイント、盗聴、安全でないファイアウォールの設定、情報漏えい、そして不適切なエラーを含み悪用される可能性がある脆弱性などが露わになります。

Wireless network security

Wireless.jpg

ワイヤレスペネトレーションテストサービスは範囲にある全てのワイヤレスアクセスポイント、攻撃者デバイスの存在、ワイヤレスデバイスへの物理的なアクセス、認証種別、デフォルト設定、WEP, WPAといった弱い暗号化通信および有線ネットワークにつながっているアクセスポイントのセキュリティをチェックします。

Source Code Analysis

source-code-analysis_400x250.jpg
いくつかのセキュリティ脆弱性は1度コードが完成してしまうと特定するのが難しくなります。コード分析サービスを活用することでバッファオーバフロー、SQLインジェクションフロー、バックドア、認証迂回、曖昧な承認境界といった、可能性ある脆弱性を明示します。
テイント解析や静的ソースコード解析に含まれるデータフローといった技術を使えば開発サイクルの安全を増すことができます。

detail__vid--text.png

はい (5)
いいえ (1)

PAGE TOP

本ウェブサイトではサイト利用の利便性向上のために「クッキー」と呼ばれる技術を使用しています。サイトの閲覧を続行されるには、クッキーの使用に同意いただきますようお願いいたします。詳しくはプライバシーポリシーをご覧ください。