調査・診断・コンサルティング
緊急事故対応サービス「サイバー119®」
企業の様々な情報セキュリティ事故発生時に、ラックの事件・事故対応ノウハウによって、迅速な調査、原因究明、復旧などを行う緊急事故対応サービスです。また、ステークホルダーへの説明、メディア対応の他、公表後におけるSNS等のモニタリング、ネガティブなコメント発見時の対応まで総合的にサポートします。マルウェアなどのウイルス感染やサイバー攻撃、Webサイト改ざん、情報漏えいなどのサイバー事故の疑いや、被害などが発生したらすぐにご連絡ください。
解析・調査(情報漏えい調査)
情報漏えい調査
お客様の通信トラフィックデータやWeb Proxyサーバのログを専門家が詳細に解析を行うことで、標的型攻撃メールや改ざんされたWebサイトなどから組織内のPCに感染したマルウェアの通信を見つけ出します。
侵害調査サービス「CrowdStrike CA」
CrowdStrike CA(Compromise Assessment)は、フォレンジックによる専門的分析と、EDR(Endpoint Detection and Response)によるリアルタイム脅威検知の2つの調査を、企業の全端末に対して実施します。検査開始時を起点に過去にエンドポイントで発生した出来事を把握し、現在進行している脅威への対処を行うセキュリティ診断です。
ASM(アタックサーフェス管理)サービス
ラックのASM(アタックサーフェス管理)サービスは、ASM製品によって検出された脅威情報の影響範囲、対処方法などを、ラックの知見を基にアドバイスいたします。
セキュリティ診断
ラックが提供するセキュリティ診断サービスは多岐にわたります。お客様が懸念される脅威に対して、的確なサービスを選択または複数サービスを組み合わせることにより、サイバー攻撃の脅威への耐性を調べることができます。
※ 色付きの枠では、下記の情報を記載しております。
Webアプリケーション・Webサイト
Webアプリケーション診断 エクスプレス
「これまで診断できていなかったWebサイトのリスクも把握したい」という需要が高まっています。ラックでは、AI+RPAによる自動診断を活用し、Webサイトへの診断量、診断品質、速さ、価格の最適化を実現。「とにかく診断結果を早く得たい」といったお客様のご要望にお応えします。
Webアプリケーション診断 安全点検パック
「DX時代の開発スピードアップに伴い、セキュリティも迅速に確保したい」という需要が高まっています。ラックでは、自動ツール診断と診断員の手動診断を組み合わせることで、Webアプリケーション固有の脆弱性を考慮しながら費用対効果の最適化を実現。Webサイトが抱える問題を見える化します。
Webアプリケーション診断ハイブリッド
攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。診断結果に基づいた対策を行うことで、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害を未然に防ぐことができます。
Webアプリケーション診断「Quick WATCH」
リスク評価の対象外とされることもあったWebサイトですが、ここにきてリスクを正確に把握するべきという考え方が強まってきました。外部委託の診断はコストと時間がかかるので全てのWebサイトは診断できない、内製化は体制整備が大変といった課題がある中で、従来リスク評価が行き届いていなかったWebサイトを、効果的に診断するための方法を提案します。
Webアプリケーション診断「SCUVA(スキューバ)」
Webアプリケーション診断 SCUVAは、高品質な脆弱性診断を、手軽に利用したいというお客様のニーズに応えるため、広範囲の診断項目や独自のノウハウをパッケージ化し、迅速かつ低価格で提供するセキュリティ診断サービスです。
サーバ・ネットワーク機器
プラットフォーム診断
企業の様々なサーバやネットワーク機器に対して侵入手法を考察・試行し、安全性を徹底的に調査します。診断の結果に基づいた対策を施すことで、潜在的な脆弱性を突いた攻撃による侵入や改ざん、情報漏えいなどのインシデント発生を未然に防ぐことができます。
サーバセキュリティ設定診断(スポット診断)
サーバの設定ミスや見落とし、脆弱性パッチの適用状況などをCISベンチマーク基準に沿って評価します。クラウド環境へ移行したActive Directory、ファイルサーバ、基幹システムサーバなどの仮想サーバに加え、オンプレミス環境の設定や脆弱性パッチ適用状況も診断することができます。
無線LANセキュリティ診断
無線アクセスポイントには「盗聴」「なりすまし」「悪意のある無線アクセスポイント」の3種の脅威が存在します。無線LAN診断は、これらのセキュリティ脅威に対して設置した無線アクセスポイントのセキュリティ対策が適切であるかを網羅的に診断し、問題点の有無を報告します。
クライアント端末(PC)セキュリティ設定診断
システムのセキュリティ診断は行っていても、業務で利用されるパソコンのセキュリティ設定に不備があっては意味がありません。本サービスは、CISベンチマークを基準にクライアント端末(PC)のセキュリティ設定を診断し、セキュリティ対策や、設定の不備などを発見し報告します。
スマートフォンアプリケーション
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断は、スマートフォンアプリケーション(AndroidおよびiOS)にセキュリティ上の問題がないか、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)やOWASP(Open Web Application Security Project)Mobileプロジェクトから必要な項目を抽出するといった手法によるラック独自の基準で診断します。
Secure Coding Checker®
iOS/Androidアプリをクラウド上のWebポータルへアップロードするだけでセキュリティ上の問題点を発見し、原因と修正案を提示する開発支援ツールです。検査基準は、OWASP「MASVS」「MSTG」を取り込んだ当社独自のガイド、および、JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しています。
クラウド・SaaS
クラウドセキュリティ設定診断(スポット診断)
クラウド環境は開発者が簡単に構築できる一方、設定ミスや脆弱性の見落とし、セキュリティ管理から漏れている野良クラウドなどの問題によって、重大な情報セキュリティ事故に発展するリスクがあります。このサービスは、お客様のクラウド環境のセキュリティ上の問題点を把握し対策して頂くためのスポット診断サービスです。
SaaS設定診断
SaaSの設定不備の有無を診断して対策案を提示し、情報漏えい事故を未然に防止するセキュリティ対策サービスです。エムオーテックス株式会社(MOTEX)の提供するSaaSの設定不備を見つける診断サービスと、ラックのセキュリティ対策コンサルティングを組み合わせ、SaaS設定を安全に管理できます。
その他
生成AI活用システム リスク診断
攻撃者の視点から対話型AI機能を組み込んだWebシステムを診断し、特有のセキュリティ問題や悪用が想定されるリスクを特定します。対話型AIを入出力のインターフェースとして、自社サービスに組み込む際に発生する「AIにより重要情報が漏えいしないか」、「高度化したAIに対する攻撃手法に対応できているか」といった不安を、専門家が第三者診断を実施することで解決します。
ペネトレーションテスト
攻撃者の視点で調査を行い、サイバー攻撃によって攻撃者が達成したいと考える「目的」を達成できるかを実証する「ペネトレーションテスト」。ラックは幅広いセキュリティの知見と豊富な調査実績があり、様々な環境に対してペネトレーションテストが可能です。
情報システムペネトレーションテスト
明確な目的を持ったサイバー攻撃グループに狙われると、セキュリティ対策を何重に組み合わせているつもりでも、想定外のわずかな隙をつかれ侵入を許してしまう可能性があります。当サービスではラックのホワイトハッカーが攻撃者視点で企業のシステムに疑似攻撃を仕掛け、対策の有効性や改善点を報告します。
情報システムペネトレーションテスト エクスプレス
高度標的型攻撃(APT)などのサイバー攻撃が数多く発生する中、企業を狙うサイバー攻撃者の目線で疑似的な攻撃を行い、現実の脅威を再現する「ペネトレーションテスト(侵入テスト)」は企業の情報システムにおけるセキュリティ対策が適切になされているかを確認する方法の一つです。一般的なペネトレーションテストには時間やコストがかかるという課題が存在してきましたが、当サービスでは、疑似攻撃の自動化により短期間かつ低コストでのペネトレーションテストを実現します。
アプリケーションペネトレーションテスト
ECサイトやポイント付与アプリなど、個人情報やクレジット情報などの機密情報を扱うオンラインサービスが増加しています。そんなオンラインサービスのアプリケーション(Webアプリ、スマホアプリ、クライアントアプリ)を動作させながら、疑似的にリクエストの改ざんなどの「悪意のある攻撃」を試み、不正ができないかチェックします。調査対象の特性に合わせてフルカスタムで調査し、改善策を提案します。
チート対策ペネトレーションテスト
ユーザーのゲーム体験を損なうチート行為が問題になっています。チート対策ペネトレーションテストは、セキュリティの専門チームがゲームを実際にプレイした上で、疑似チート攻撃・ソースコード解析を実施し、診断対象のゲームに特化した脆弱性の検出と改善方法を提案します。
IoTデバイスペネトレーションテスト
IoT機器は社内システムやクラウドサービスなどネットワークと通信するケースも多く、外部から侵入されるリスクがあります。そこで、もし悪意のある者が侵入に成功した場合、どのような影響があるのかを検証し、被害を未然に防げるよう改善策を提案します。
セキュリティ対策アセスメントツール「Cymulate」
サイバー攻撃への対策として、企業はEDR、IDS/IPS、WAF、SASE、DLPなど多くのセキュリティ施策を導入しています。しかし、コストと時間をかけて導入しても有効に機能せず脅威を検知しないことがあります。
Breach and Attack Simulation(BAS)のCymulate(サイミュレート)は、最新の攻撃手法を自動化した攻撃シミュレーションを実行し、検知状況を短時間で評価します。
TLPT(脅威ベースのペネトレーションテスト)
サイバー攻撃対策にはシステム面だけではなく、人や組織、プロセスの観点が求められます。実際の脅威と同様の手法で攻撃を仕掛け、お客様側での攻撃の防御や検知といった対応への具体的な改善・提案を通じて、サイバー攻撃への対応能力(レジリエンス)の向上を支援します。
セキュリティコンサルティング
20年間に渡るセキュリティサービス提供の経験とサイバー世界における攻防の最前線で得られた知見を結集し、お客様の様々なお悩みを解決します。
金融犯罪対策コンサルティング
近年、金融サービスとIT技術を組み合わせたデジタル金融サービスが普及し、私たちの生活はより便利になりました。しかし、デジタル金融サービスの利用者の増加に伴って、これを標的とした金融犯罪の脅威が高まり、金融機関にとって大きな課題となっています。本サービスでは、お客様が金融犯罪に対抗・対処するための支援を提供します。
情報セキュリティプランニング
6つのステップでリスクの可視化・対策立案・ロードマップ策定を行います。現状を正確に回答いただくだけでリスクが可視化され、実態に即した地に足のついた対策及び優先度に基づくロードマップを協議しながら策定します。
定期セキュリティコンサルティング
緊急リリースされた脆弱性の自組織への影響度を知りたい、セキュリティ施策について重要性を経営者に説明したい、現状の不安を解消したい、自組織のセキュリティリテラシやインシデント対応力を向上したいなど、セキュリティ施策を推進する上では様々な疑問や課題が生じます。これらの疑問や課題を解決し、適切なセキュリティ施策を選択・実行できるよう、専門知識をもった当社のセキュリティコンサルタントが幅広く相談に応じます。
産業制御システム向けリスクアセスメント
産業制御システム(OT)のネットワーク化、IoT化が進み、ITシステム同様の脅威やリスクが高まっています。本サービスは、ファクトリーオートメーション(FA)、プロセスオートメーション(PA)環境などのOTシステム特有のリスクや潜在リスクをラック独自のノウハウでアセスメント。
システムセキュリティデザイン
システム構築における要件定義/設計/開発/テスト/運用の各工程で必要となるセキュリティ施策(セキュリティ要件策定・評価、セキュリティガイドラインの策定・ソースコード診断・Webアプリケーション診断、プラットフォーム診断、脅威情報の配信)の実施および評価をするサービスです。
サプライチェーンリスク評価サービス(Panorays)
SOMPOリスクマネジメント社が提供するSaaS型のセキュリティリスク評価システムPanoraysを活用し、自社に関係するサプライヤー情報を共通のシステムに収集。サプライチェーン全体のセキュリティ対策状況を把握し、攻撃を受けやすい箇所を可視化、一元管理します。
CIS Controlsアセスメントサービス
サイバーセキュリティ対策の具体的なガイドライン、CIS Controlsをベースにラックオリジナルの対策例を加えた専用チェックシートを用いてヒアリングを行います。お客様のセキュリティ対策状況と課題を洗い出し、セキュリティ対策の成熟度評価を実施します。
IoTセキュア開発コンサルティング
ラックはさまざまなIoTデバイスを扱い設計段階から最適解を模索してきました。情報漏えいやサービス停止など想定外の事態を招かないようにするため、系統的な分析によって脅威を網羅し、各デバイスに応じた対策を検討します。
セキュリティ診断内製化支援
ITを活用した新サービス開発やリリースの頻度が高い場合や本格的なDX推進を行う場合、セキュリティ診断を社内で迅速に行う体制構築が求められます。診断ツール導入や運用、診断結果を活かす専門知識などラックの蓄積された知見で企業内のセキュリティ診断内製化をサポートします。
Windows・AD要塞化分析サービス
WindowsやActive Directory(AD)上で起こる標的型攻撃・侵入型ランサムウェア攻撃への対策の基本は、WindowsやADのアカウント管理とセキュリティ設定です。WindowsやADが要塞化され、高いセキュリティを実現しているかを分析し、対策を支援します。
セキュリティ脆弱性アドバイスサービス by Snyk
最近のアプリケーション開発では、アジャイル開発やDevSecOpsに求められる開発スピードを、損なわずにセキュリティを強化することが求められています。本サービスでは、開発プロセスの初期段階からラックの知見とSnyk(スニーク)の技術を生かした脆弱性対策を行います。
ITコンサルティング
お客様の経営戦略に基づくIT戦略の策定から、IT活用や評価に至るまで、あらゆる課題を解決いたします。
インフラグランドデザイン策定支援
現在のインフラ環境(ネットワーク/サーバー/クライアント)の全体構成に対するアセスメントを行い、IPA非機能要求グレードを活用したリスク分析から課題を抽出、あるべき構成のグランドデザインと実行計画の策定を支援します。
IT-BCP策定支援
IT-BCP対策に関する現状確認と、時代に合ったIT-BCP規定の見直し(作成)を行い、現ITシステムとのギャップからリスク・課題を抽出し、お客様ご指定のアセスメント対象とするシステムに対する必要な対策を提示いたします。
クラウド活用最適化支援
お客様が利用しているクラウド環境の全体構成に対するアセスメントを行い、コスト効率/パフォーマンス/セキュリティなどを考慮に入れた最適なクラウド利用環境に向けて改善計画を策定します。
スマートシティ・スーパーシティ向け「smart town事業構想」
住宅設備、医療、社会基盤サービス、そしてウェアラブルな機器もインターネット接続で便性向上を目指す「スマートシティ/スーパーシティ」。ラックはセキュリティ/システム開発事業で培った経験を活かし、街全体を見守る総合的なセーフティ・サービスとして、「smart town」事業の実現を推進しています。