Search Results for:

Threat Intelligenceとは？ セキュリティにおいて、攻撃側が優位であり、その情報を収集して防御に活かす活動は、敵を知るためのものです。攻撃組織、個人、脅威に関する情報を収集し、評価し、自己のセキュリティ維持と意思決定に活用する活動です。これは、サイバーセキュリティに限らず、以前から行われてきた情報収集（諜報）活動とも関連があります。 OSINT技術捜査方法を用いて、広くインターネット上に公開されている情報を活用したThreat Intelligenceレポートサービスです。貴社にとって脅威となるデータや漏洩情報の流出状況等を可視化することができ、対応方法を講じることができます。一般的に日常生活で接しているウェブサイトである「Surface Web」と、特定条件のみで接続可能な「Deep Web」、IPアドレスを特定できなくする特殊ブラウザを介してのみ接近することができる「Dark Web」までインターネット全般の公開データからお客様に関係があるデータだけを洗い出して調査を行います。

Large Simulation Model 最小サイズは900mm×600mmで、モデルによって異なります。 一つのテストベッドに複数の機能を追加でき、シミュレーションはお客様の要望に合わせてカスタマイズできます。 リストにないハードウェアやモデルにも対応可能です。 マニュアルは有償で購入できます。 PLC & HMI Brands LSIS / MITSUBISHI / SIEMENS / ROCKWELL / DELTA / FATEK / SMA / WEINTEK ※ モデルに含まれるデフォルトブランドはLSISです。 別のPLCブランドを選択する場合は追加料金が発生します。 Available Hardware  IoT Device, RF Module, Bluetooth Module, Bluetooth Kit, Laptop, Disaster Siren, CCTV, Wi-Fi AP, Zigbee Module, Relay Available SoftwareHMI, VMWare, Windows OS Available Communication […]

ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け（ネットワーク、アプリケーション）、組込みシステム向け 考えられる攻撃箇所に対し実際にハッカーが⽤いる戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテスト いまや多くの企業や組織は多層防御によるセキュリティ対策を実施しています。しかしながらサイバーセキュリティは防御側より攻撃側が有利であり明確な目的を持って組織的に、戦略的に、かつ計画的に攻撃してくる傾向があると多くの専門家が指摘をしております。このような状況化におけるセキュリティ診断は従来のリスクの可視化（脆弱性診断）から、より実戦的な攻撃手法を用い、どのような脅威が潜んでいるのかを調査する方法（ペネトレーションテスト）が注目されはじめております。ペネトレーションテストは脆弱性診断と異なり、考えられる攻撃箇所に対し実際にハッカーが用い戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテストとなります。加えて、このテストを通じてセキュリティ機能の有効性やセキュリティ耐性を理解することにも役立ち、有益な取組みでもあります。弊社のペネトレーションテストは、ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け（ネットワーク、アプリケーション）、組込みシステム向けなどに分類され、目的や用途に合わせて実施できます。また様々なシナリオを元に、攻撃者が実行する仮説を立てて模擬ハッキングによる実践的なテストを実施することも可能です。 提供可能なペネトレーションテスト ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。ペネトレーションテストには、Blackbox型、Whitebox型、シナリオ型、脅威リード型(LTPT)がありますが、以下のテストをメインに提供しております。 ネットワークペネトレーションテスト PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト ユーザ要望に基づく複数の攻撃シナリオよるペネトレーションテスト ⾃社保有の模擬ハッキング⽅法論による実施と管理 Webペネトレーションテスト 公開Webアプリケーションをターゲットとしたペネトレーションテスト 対象アプリケーションのInformation Gatheringと脆弱性の探索 攻撃シナリオの組み立てと攻撃ツールの構築、発見した脆弱性に対して攻撃者が用いる攻撃ツールで攻撃を試みる(アプリケーションの脆弱性を攻撃、データの改ざん/流出の可能性、セキュリティシステムを迂回など) PCI DSS向けペネトレーションテスト(ネットワーク、アプリケーション) PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト 自社保有の模擬ハッキング方法論による実施と管理 PCI DSSレポートガイドランに沿ったレポート 組込みシステムに対するペネトレーションテスト 主にバックドア分析（Hardware, Firmware, Kernel, Boot Loader, Driverなど） リバースエンジニアリングによる分析（Disassemble, JTAG, CHIP-OFFなど） 自社保有の模擬ハッキング方法論による実施と管理

モバイルアプリ脆弱性診断は、スマートフォンアプリを分析し、必要な対策を提供する脆弱性診断サービスです。スマートフォンの普及とアプリ開発の容易化により、多くのモバイルサービスが提供されています。しかし、この中には脆弱性を持つアプリも増えており、情報漏えいなどのリスクが増加しています。モバイルアプリ脆弱性診断リ診断は、アプリの脆弱性を調査し、モバイルサービスの安全な運用と持続的なセキュリティ対策をサポートします。 セキュリティスペシャリストが実施 ・多くの経験（脆弱性診断とハッキングインシデント調査等）を活かした診断ノウハウ ・短時間に広範囲のリスクを効果的に把握することが可能 攻撃が成立するか否かまで調査 ・脆弱性の発見だけではなく、攻撃者の目線で攻撃が成立するか否かまで調査 ・攻撃方法と修正内容をサンプルコード付きで報告（必要な場合） サービスをくまなく診断 ・報告後、修正が正確に対応できたか確認 ・スマホアプリに限らずアプリが参照するサーバAPIの診断も可能 （サービス全体に潜まれている脆弱性を探知） 診断項目（Andorid） 分類 診断内容 設置ファイル ソースコードの難読化可否 不必要なファイルの権限 ソースコードへの重要情報の露出 設置ディレクトリ リソースへの重要情報の露出 Databaseへの重要情報を保存 アプリケーション実行 通信内容の適切な暗号化 ルート化の可否 アプリの整合性検査 メモリへの重要情報の露出 デバッグ出力への重要情報の露出 Intent強制呼出 重要関数Runtime操作 画面キャプチャー機能活性化 診断項目（iOS） 分類 診断内容 設置ファイル コードへの重要情報の露出 設置ディレクトリ リソースへの重要情報の露出 Databaseへの重要情報を保存 アプリケーション実行 通信内容の適切な暗号化 Jailbreak化の可否 アプリの整合性検査 メモリへの重要情報の露出 デバッグ出力への重要情報の露出 重要関数Runtime操作 Backgroundスナップショットイメージの保存可否

SecurityGroundとは？ SecurityGroundは、サイバーセキュリティに関する専門的な教育サービスを提供しています。NSHCは過去10年以上にわたり、韓国だけでなく、東南アジアや中東の国々でもサイバー攻撃とその対策に関する多くの教育プログラムを展開してきました。 SecurityGroundは、サイバーセキュリティ分野に興味を持つ初心者から、深い知識を追求したい方、特定の職種において専門的なスキルを磨きたい方など、さまざまな学習レベルに合わせたカリキュラムを提供しています。また、オンラインやオフラインでのトレーニングや実践プロジェクトを通じて、多くの人々がサイバーセキュリティの理解を深め、実践的なスキルを習得できるよう支援しています。 複数のセキュリティトレーニングやハッキング大会の運営経験 長年にわたり、Advanced Security Trainingを通じて90のトレーニングを実施し、1,000人以上の受講者を教育してきました。また、通商産業省、Def Con、Black Hat、Brainhack CDDCなど、様々なIoTやICS/SCADA機器を用いたハッキング大会の運営実績があります。この長年のセキュリティ教育とハッキング大会の運営経験に基づき、カスタマイズされたセキュリティ教育とBootcampを提供できます。 対象ターゲットと内容 101 201 301 Advanced Security Education 101 ターゲット: サイバーセキュリティの学習を始めたい初心者 カリキュラム構成: OS、Web、ネットワーク、暗号学、悪意のあるコードなど、サイバーセキュリティの基礎からコード解析などの高度なトピックまで包括的なカリキュラムを提供します。 201 ターゲット: サイバーセキュリティまたはITセキュリティに専念し、基礎をより体系的に学びたい方々 カリキュラム構成: Webセキュリティ、ネットワークセキュリティの上級コース、CTFトピックス、セキュリティ業界の最新動向を考慮したトピックスなど、高度なトピックスに焦点を当てた包括的なカリキュラムを提供します。 301 ターゲット: サイバーセキュリティ専攻のIT専攻者で、攻撃と防御の双方の側面を楽しみたい方々 内容: サイバーセキュリティを攻撃側と防御側の視点から理解し、徹底的なトレーニングを提供します。 Advanced Security Education ターゲット: サイバーセキュリティの専門家 カリキュラム構成: サイバー脅威インテリジェンス、ICS/SCADA、マルウェア解析、IoTエクスプロイト、オープンソースインテリジェンス、侵入テスト、スマートカーセキュリティなどのトピックを含むカリキュラムを提供します。

エンジニアによるPCIDSS、OWASP-Web-Testing Guide/OWASP Top 10に基づくWebアプリケーション/Web APIの脆弱性診断 脆弱性手動診断サービスはツール診断ではカバーできないセッション管理系の診断項目に加え、クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目やセキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目に沿ってWebアプリケーションやWeb/API診断が可能です。またモダンWebと呼ばれているSPA（Single Page Application）やPWA（Progressive Web Apps）の診断にも対応しています。 セキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目 OWASPとは世界のセキュリティ専門家による診断の標準や規格を策定する組織のことです。Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。 クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目 PCI DSS（Payment Card Industry Data Security Standard） PCI DSSとはクレジットカード業界におけるグローバルセキュリティ基準のことです。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。 モダンWebの脆弱性診断 モダンWebとはパソコン、スマートフォン、タブレットなどマルチデバイスに対応しやすく、新たなUX（「ユーザエクスペリエンス」ユーザ体験）を創出するWebサイトです。 モダンWebの反対語にレガシーWebのMPA(Multiple or Multi Page Application)があります。MPAは一般的なホームページのように複数のページで構成されているWebサイトです。SEO（検索エンジン最適化）やアプリケーション内の構造の管理がしやすいことがメリットですが、ファイルの読み込み通信が頻繁に発生し表示に時間がかかることや、中大規模サイトになると構造が複雑になり管理が大変になることや、モバイル向けサイトのUI設計が難しくなることがデメリットになります。モダンWebはMPAのデメリットを解決すするために考えられた技術で、特に注目されているものはSPA(Single Page Application)やPWA（Progressive Web Apps）と呼ばれるものです。 SPA（Single-Page Application） SPAは単一のHTMLで構成されているWebサイトでファイル読み込みが初回アクセス時に全て済むため読み込み時間が短く高速な処理ができるため複雑なアニメーションが表現できるなどリッチなコンテンツを提供することが出来ます。またSPA+APIで実装できるためモバイルアプリと同じバックエンドを利用できることやモバイル向けのサイトとあわせてUI設計がしやすいこともメリットで、スマートフォンとも相性がよい技術です。MPAと比較してSPAに多い脆弱性を狙った攻撃はクロスサイトスクリプティング（XSS）と呼ばれるもので、脆弱性のあるサイトにスクリプトが埋め込まれるところから攻撃が始まり、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーション（「インタラクティブ（相互作用、双方向）」サイト）において、Webサイトの脆弱性を利用した攻撃手法を指します。インタラクティブなSPAは攻撃を受けやすい為、安全性が劣ることもありWebアプリケーション脆弱性手動診断サービスを実施することが必要とされます。 PWA（Progressive Web Apps） PWAとはウェブとアプリの良いところを取ったもので、ネイティブアプリのような操作性や表現力を持っているWebアプリケーションのことです。ストアダウンロードが不要で提供できることやキャッシュを使う技術のため低用量のアプリでスマートフォンのストレージを圧迫しないで利用できる点も優れています。TwitterやInstagram、GooglePhotoなどが有名なサービスです。当社ではPWAにも対応できるWebアプリケーション脆弱性手動診断サービスを提供しています。 Web API（Application Programming Interface） APIとはソフトウェアからOSの機能を利用するための仕様またはインターフェースの総称で、アプリケーションの開発を容易にするためのソフトウェア資源のことです。Webで利用する場合、公開されているWeb APIは「Facebook」「Twitter」「YouTube」「Googleマップ」などが有名でアプリ開発などでよく利用されるものです。SPAやPWAのアプリ開発を実施する場合はWeb […]

様々なオープンソース情報から貴社にとって威嚇となり得る貴重な情報や個人情報の漏洩状況などをハッカーの観点から分析し、レポートします。 SecurityGroundは、サイバーセキュリティに特化したトレーニングを提供するサービスです。 シミュレーター(Testbed)を利用した実践的なトレーニングを行います。

専門エンジニアによる脆弱性手動診断 脆弱性手動診断サービスは、専門のエンジニアの手動診断により、ツール診断ではカバーしきれないセッション管理系の脆弱性診断も行います。 「ECサイトのセキュリティを対策したい」「大量の個人情報を扱っている」などのお客さまにおすすめのセキュリティ診断サービスです。 診断対象に適したプランの選択で高コストパフォーマンスを実現 診断対象システム（Webアプリケーション）の特性や、お客さまのご予算に合わせ、各メニューを組合せてご利用いただけます。たとえば、「ログイン機能のみの診断」というご要望や「全体的に診断したい」というご要望などお応えすることが可能です。 専門のセキュリティエンジニアによる細やかなサポート体制 当社の専門のセキュリティエンジニアが対象システムを確認させていただき、診断手法、診断すべき箇所の選定などをサポートいたします。お客さまに安心してご利用いただけるよう、きめ細やかなサポート体制をご用意しております。 これまでの診断ツールでは難しかった機能別の診断が可能 当社のサービスではこれまでの自動ツール診断では難しかった機能別の診断を独自ツール開発および手動診断により、高品質で安価なサービスを実現いたしました。もちろん常に最新の脆弱性情報を収集し、サービスに反映させています。 診断フロー 事前協議後に、情報収集と診断対象の環境分析を行います。収集した情報をもとに診断を行うことになり、重要な情報の取得、提供機能の悪用可能性などをチェックします。 提供診断サービス ペネトレーションテスト Webアプリケーション脆弱性診断 モバイルアプリ(iOS/Android)脆弱性診断