総合セキュリティサービスを展開するSHIFT SECURITYグループ。中でも主軸となるのが、ソフトウェアやシステムなどに内在する脆弱性がないか、ある場合はどのようなリスクがあるかとその対策について検査する脆弱性診断です。
SHIFT SECURITYグループの脆弱性診断は、これまでに10,000件以上(※)の診断実績を誇り、業界トップクラスに成長しました。
具体的にどのようなサービスを提供しているのか、SHIFT SECURITYグループの強みは何かなどをシリーズでお伝えします。
第1回は、脆弱性診断の中でも特にご依頼の多いWeb脆弱性診断についてです。
※2025年3月現在、グループ実績SHIFT SECURITYグループには、これまでにセキュリティ業界で長くキャリアを築いてきた経験豊富なホワイトハッカーが在籍しています。
<業界実績>
<案件実績>
例:クラウドサービス提供・利用における適切な設定に関するガイドライン策定への参加
暗号資産安全管理標準策定への参加
私たちは、こうした幅広い業界のお客様へセキュリティサービスを提供してきたホワイトハッカーのスキル・ノウハウを業界内でいち早く標準化しました。
標準化をする上で必要なのが、どのような診断をしたらどのような脆弱性が現れるといった「観点」です。ホワイトハッカーであれば独自に観点を持っていますし、ベンダー各社がそれぞれの観点表を持っていて、もちろんSHIFT SECURITYグループでも観点表の整備を行っています。
従来のホワイトハッカー診断では、報告書の形として診断をした対象、診断者、脆弱性の有無、評価のみを記載する形が一般的でした。結果のみの記載のため、どこを、どの観点で、どれだけ検査して「脆弱性がなかった」といえるのかが不透明という課題がありました。
こうした課題を踏まえ、SHIFT SECURITYグループでは観点表に基づきどのような診断をしたか、その結果はどうだったのか、診断の過程も合わせて報告をするため、よりお客様に安心を届けられます。例えば、ログイン画面を表示する、IDとパスワードを送る、ログインに成功 / 失敗する、ユーザー画面が表示されるといったような一挙手一投足を細かく記録しているイメージです。
SHIFT SECURITYグループでは、ホワイトハッカー独自の観点やスキル・ノウハウを取り入れながら、ホワイトハッカーでなくとも、むしろ、「診断」が得意な人材が対応するからこそ、結果にブレがない「標準化診断」によって高い品質を確保しています。
脆弱性診断業務を仕組化することで、徹底的に無駄を削減。生産性の向上を可能にしました。大手ベンダーと比較すると、診断コストは約30%の低減を実現しています。
また、お客様のサービスやご要望に応じて複数の料金プランをご用意しています。
| プラン名 | ブロンズ | シルバー | ゴールド | プラチナ |
|---|---|---|---|---|
| 特徴 | とにかくコストを抑えて診断をしたい | 緊急度の高い脆弱性を洗い出したい | 網羅性高く脆弱性を洗い出したい | 高度な攻撃を想定して診断したい |
| サービス例 |
・キャンペーンサイト ・一時的に運営するWebサイト |
・コーポレートサイト ・個人情報を保持しないWebサイト |
・ECサイト ・個人情報を保持するWebサイト |
・金融サービス ・高度な攻撃が想定されるWebサイト |
セキュリティ業界では慢性的な人材不足が課題となっていますが、SHIFT SECURITYグループでは上記の標準化・仕組み化により徹底した効率化を実現したほか、ハイスキルなホワイトハッカーでなくても一定の品質で脆弱性診断業務に携わることを可能にしました。
創業から7年で140名体制に成長。グループ全体では200名以上の体制で脆弱性診断の提供にあたっており、国内トップクラスの供給量となっています。
さらにSHIFT SECURITYグループでは、適性検査を用いることで、業務適性があり高い生産性を見込める人材の採用を行っています。個々の生産性の高さを活かしながら、200名超の体制でご依頼いただいた案件に対して短納期を実現しています。
SHIFT SECURITYグループでは、OWASP TOP10、ASVSといった、全てのWebアプリケーションで確認すべき診断項目として定められている国際基準に対応しています。
また、診断で発見された脆弱性は、それがどれだけリスクの高いものなのかを分かりやすくお客様にお伝えする必要があります。SHIFT SECURITYグループでは、脆弱性リスク評価の共通言語ともいえる「共通脆弱性評価システムCVSS」に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告しています。
これも業界に先駆けた取り組みとして注目されています。最近では、同じく国際基準に基づいた診断を採用する動きが業界全体としても大きくなってきています。
IPA(独立行政法人 情報処理推進機構)では一定の基準を満たしたセキュリティベンダーのリストを「情報セキュリティサービス基準適合サービスリスト」として公開しています。審査を通過したベンダーとサービスのみが掲載されているため、情報セキュリティサービスを選択する際の一助となるでしょう。
SHIFT SECURITYグループとしてこの基準に適合するサービスを提供しています。
【参照】情報セキュリティサービス基準適合サービスリスト(IPA)
https://www.ipa.go.jp/security/service_list.htmlWebアプリケーション脆弱性診断とは、ここまでご紹介した脆弱性診断サービスのうち、Webサイト、WebサービスなどのWebアプリケーション全般を診断対象とするものです。
例えば、私たちがよく目にするWebサイトでは、ブラウザでログインをしたり、情報を書き込んだりといった場面がありますよね。ECサイトでオンラインショッピングを楽しむ、会員制ブログの運営・閲覧するなど、日常的に接する機会も多いのではないでしょうか。
そのため、SHIFT SECURITYグループが提供するWeb脆弱性診断はWebサイトを公開している全ての会社・団体・官公庁・自治体が対象となります。特に、投稿フォームなど情報を入力するページを含んだコーポレートサイトの診断は非常に多くご依頼をいただいています。
たとえユーザーに個人情報の入力を求める場面がないWebサイトであっても、何らかのフレームワークやサーバを利用しています。そのため、設定のミスなどで外部に漏れてはいけないファイルが閲覧できてしまったり、場合によっては改ざんが可能となっていたりといったリスクがあります。必要とされる観点の広さや深さに違いはあれど、公開されている全てのWebサイトで脆弱性診断をしておくべきと言えるでしょう。
網羅的な診断が必要な場合は、まず標準化された診断をおすすめしています。網羅的な診断をした上で、必要に応じてホワイトハッカーが範囲を絞って、より詳細な観点で診断を行うことがベストです。
私たちは「全ての人にセキュリティを届ける」ことを大切にしているため、導入していただきやすい料金体系でサービスを提供しています。過去に診断をご依頼いただいたお客様はもちろん、初めて脆弱性診断の依頼をお考えのお客様にも安心していただけるよう、明確に料金が定められていて、ご納得いただけるコスト・納期でのサービス提供に努めています。
SHIFT SECURITYグループでは、脆弱性診断をはじめ、セキュリティ監視など総合的なセキュリティサービスを提供しています。セキュリティに関するご相談、ご質問がございましたら問い合わせフォームよりお気軽にお問い合わせくださいませ。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
