国際基準に準拠した脆弱性診断サービス「Matrix Inspect」
対象読者と活用シーン
この資料は、以下のような方々に特に有用です。
-
ウェブアプリリリース前に必読!IPA「安全なウェブサイトの作り方」と最新脆弱性対策もしくは、【初心者向け】セキュリティ診断とは?今すぐ知っておきたいWebサイトのセキュリティを読了し、 脆弱性診断サービスMatrix Inspectについて知りたい方
-
ウェブサイト、ウェブアプリケーションの開発者
-
ウェブサーバやインフラの運用管理者
-
セキュリティ対策をこれから学びたい初学者
-
自社サイトの安全性を見直したい中小企業の担当者
資料の構成と内容
脆弱性診断について実際に検討しはじめた方向けに、事業者探しや料金について解説しています。
脆弱性診断の現状と考えるべきポイント
-
セキュリティの脅威の高まりで、もはや「当たり前」となりつつある
-
様々な事業者が乱立している為、最適なサービスを見つけにくい
-
エンジニアリソース依存の商売
➀(特に大手)外部委託が横行、結果として高額
➁ドアノックとして他の商材への誘導
➂スキャンだけして終わりとの二極化 -
スキャン結果だけ渡されても、本当に改修対応が必要な内容かどうかわからないケースも多い
Webやモバイル上でのサービスが日々増え続けるその裏で、ITにおけるセキュリティリスクも同時に増え続けています。また昨今はAIを活用した、高度かつ広範囲での攻撃も急増しており、インターネット上でサービスを公開する際に、そのセキュリティ対策を講じることは必須であり、脆弱性診断もリリース前の最終確認として、当たり前のものになりつつあります。
ただ脆弱性診断の現場を見てみると、脆弱性診断はリソース依存となるため、セキュリティエンジニア不足が叫ばれている昨今、すべての事業者が正しい品質で適切な価格の診断をしているとは限りません。例えば、サービスリリースの相次ぐ年度末等の繁忙期は、通常よりも高価な見積になりがちで、かつリソース不足の場合外部委託を行っているケースが頻発しています。まあ、診断を“入口商品”として他の商材に誘導するケースもあります。そして、スキャンをするだけの格安サービスも増えており、本当に必要な対策は何か、どのように改修すべきかなど、Web開発者が判断に困るケースも少なくありません。
こうした背景を踏まえ、正しい診断を受けるために、対象のサイトと自社のリソースから、しっかりと診断事業者の選定をする必要があります。
事業者を選ぶ際のポイント
脆弱性診断は、単に「診断を受ければ安心」というものではありません。診断の精度や報告内容の質は、依頼する事業者によって大きく差が出ます。そのため、信頼できるパートナーを見極めることが、実効性あるセキュリティ対策の第一歩です。
情報セキュリティサービス基準などの品質を担保できているか
脆弱性診断を依頼する際に、最も重視すべきは診断の品質です。診断事業者の中には、簡易なツールだけで済ませるケースや、経験の浅い人材が担当するケースもあり、結果の信頼性に大きな差が出ます。そこで一つの目安となるのが、IPA(情報処理推進機構)の「情報セキュリティサービス基準」に登録されているかどうかです。登録事業者は、技術力や情報管理体制が国の基準を満たしているため、診断の精度や報告の妥当性が担保されています。診断の品質は、被害を防げるかどうかを左右する非常に重要な要素です。安心して依頼するためにも、まずは公式の登録事業者かどうか、もしくは同品質を担保できる、外部認証等を持っているか確認することをおすすめします。
適正な金額感で行われているか
脆弱性診断は、事業者ごとに価格差が大きいサービスの一つです。数万円で提供される簡易診断から、数百万円規模に及ぶ本格的な診断まで幅広く存在します。ここで注意すべきは、「安いから」といって安易に飛びつかないことです。極端に低価格な診断は、チェックが浅く、誤検知や見落としが多い可能性があります。一方で、高額であっても自社の規模やシステムに見合わない過剰なプランであれば、費用対効果が薄れてしまいます。重要なのは、診断範囲や深度と費用が適正にバランスしているかどうか。見積もり時に診断内容と価格を照らし合わせ、「適正な金額感」であるかをしっかり見極めることが必要です。
自社のレベル感に対して求めている対応をしてもらえるか
診断事業者を選ぶ際には、自社のリスクや運営体制に合った対応をしてもらえるかどうかも重要な視点です。小規模な企業やECサイトであれば、すべてを網羅した大規模診断ではなく、必要十分な範囲で効率的にリスクを洗い出すことが現実的です。一方で、社会的影響が大きい大規模サービスであれば、手動診断や詳細な報告書を含む包括的なプランが求められます。つまり「一律のパッケージ診断」ではなく、自社のレベル感に応じた診断の提案をしてくれるかがポイントです。事前相談の際に、自社のシステム規模やリスクをしっかりヒアリングし、最適なプランを提案してくれる事業者こそ、信頼できるパートナーといえます。
Matrix Inspectとは?
Webアプリケーションに特化した脆弱性診断
CyberMatrixが提供する脆弱性診断サービス
Matrix Inspectはインターネットから検査対象のシステムに対して、脆弱性診断とペネトレーションテストを行うサービスです。セキュリティ資格保持者や5年以上のペネトレーション経験を有したメンバーでチームを構成し、ホワイトハッカーの専門知識を活用したサービスです。また、AWS、Azure、Google Cloudなど主要クラウドサービスプロバイダ上の環境に特化したセキュリティサービスの開発から得た豊富な知見を活かし、これらの環境下で構築されたシステムへの脆弱性診断やペネトレーションテストを得意としています。
3つの診断プランと特徴
ベーシックプラン
低コスト・短期間で、自動スキャンレポートを精査して報告する診断サービス。静的サイトや画面遷移の少ないアプリケーション、ネットワーク/OS/ミドルウェアの既知脆弱性確認に最適。
ビジネスプラン
「OWASPなどのガイドラインに基づき、機能ごとに手動検査を行うサービス。会員サイトや画面遷移が複雑なWebアプリケーションなど、個別対応が必要なアプリに最適。
アドバンスプラン
ビジネスプラン検査にペネトレーションテストを追加し、高リスク/複合脆弱性の有無と影響範囲を評価して、アプリケーションの重大リスクを可視化するプランです。
各検査の種類
自動検査
スキャナーによる自動検査が診断のベースとなります。
手動検査
スキャナーによる自動診断だけでは、ページ遷移による脆弱性の対応ができません。例えば、FQDNは同じであっても、お見積もりサイト等で、年齢や職業などを選択することによって、出力が異なるような場合には、スキャナー診断でみぬくことはできず、その遷移を一つ一つ手動で検査する必要があります。
ペネトレーションテスト
実際のサイバー攻撃を再現した疑似攻撃を行い、システムへの侵入の可能性や、攻撃によってどのような被害が発生するかを検証するテストです。単なる脆弱性の洗い出しではなく、「機密情報の窃取」などの具体的な攻撃目的を設定し、専門の技術者が攻撃者の視点で、組織のセキュリティ対策がどれだけ有効かを評価します。
テストを行うエンジニアは、これまでの検査によってすでに「怪しい箇所」に目星がついているケースが多く、実際に疑似攻撃を行うことで、その脆弱性がどこまでの範囲に影響を及ぼしてしまうのか、もしくは起こらないのか、脆弱性があるないといった0か1かだけではなく、どの程度の難易度で侵入を許してしまったのか、そしてその範囲は度の規模になるのかをシミュレーションでき、具体的な対策を講じることが可能となります。
オプション
ビジネスプラン以上で、主に機能数に応じて手動検査数が追加料金が発生するケースがあります。
Matrix Inspectの強み
AWS等のクラウド環境のアプリケーションに強い
AWSなどのクラウド向けのサービス[CyberNEO]を自社開発しており、AWSやAzure、Google Cloud上のWebサービスの検査を得意としております。
経済産業省主導の「情報セキュリティサービス基準」に登録済
(IPA「独立行政法人 情報処理推進機構」が定める基準に基づき、情報セキュリティに関する専門知識や実績を有することが認められた事業者 を指します。OWASP Top 10などの国際基準を満たす診断品質にて診断をいたします。
自社プロダクト[CyberNEO]を開発する、開発者側への理解
CyberMatrixの脆弱性診断は、攻撃者視点と開発者視点を併せ持つセキュリティエンジニアが実施します。そのため、セキュリティ的には正解でも、開発者からするととても重く改修が難しいような、専門性違いによるギャップを理解し、現実的な回避策を勧めるケースも多数ございます。
ペネトレーションテストが90万円~と明朗で良心的な価格設定
一般的に数百万~1千万超えも珍しくないペネトレーションテストを、リーズナブルにご提供いたします。自社でセキュリティエンジニアを抱える当社の強みであると言えます。
対象アプリのプラットフォーム診断が無料付帯
診断対象となるアプリケーションのターゲットのIPアドレスに対して、通信プロトコル上の脆弱性や稼働しているサービスの脆弱性を調査します。
導入事例・ユースケース
株式会社B様 / 業種 ITコンサルティング / 従業員規模 約200名
導入前の課題:新規事業のwebプロダクトにおいて、セキュリティ管理が課題であり、現状の脆弱性や対策などが分からない状態に陥っていた。
解決事例:既存サイトの脆弱性診断から、セキュリティリスクを洗い出し、効果的な対策の提案をいただけた。
企業様からのコメント:Matrix Inspectのおかげで、現状理解と今後発生しうるセキュリティリスクについてチームで目線合わせができました。専門的な対策も取っていただき安心できました。
導入までの流れ
ご契約前
お問い合わせ → 要件ヒアリング → お見積り → ご契約
ご契約後
事前調査 → 診断の実施 → 報告書の提出 → 報告会の実施
機関などについては詳しくはお問い合わせください。
よくあるご質問
Q. 脆弱性が検出された時の対応方法は報告書に記載されますか?
A. 報告書には脆弱性の詳細とその対応方法を記載させていただきます。対応方法はなるべくお客様のシステム環境にあった対策がとれるように記載させていただきます。記載した内容にご不明な点がある場合はメールや口頭で説明させていただきます。
Q. 報告会は実施していただけますか?
A. 報告会はリモート対応で開催することは可能です。オプションサービスとなりますが、関係者の方を招集して会議形式で説明が必要な場合はご利用ください。
Q.検査項目は網羅するため基準などに沿って実施しておりますか?
A.日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライ ン」に沿った検査メニューでサービスを提供しております。
Q. 脆弱性診断で利用しているツールは何を利用していますか?
A. Webアプリケーションレイヤーの検査においてはBurpSuiteを利用しております。プラットフォーム検査では OpenVAS、nmap、nuecli、自社開発のスキャナーを利用しております。
サイバー攻撃から身を守るために
近年、AIを活用した攻撃の自動化や、クラウドサービス・APIを狙った高度なサイバー攻撃が急増しています。
もはや「いつ狙われるか」ではなく、「いつ、どのように備えるのか」が問われる時代です。
こうした背景の中で、脆弱性診断は単なる形式的なチェックではなく、事業の信頼と継続を守るための必須プロセスとなっています。
しかし、診断の品質・報告内容・改修支援には事業者ごとに大きな差があり、自社の環境やリスクに最適なパートナーを選定することが重要です。
Matrix Inspectは、IPA(独立行政法人情報処理推進機構)登録事業者であるクラウド環境に精通したセキュリティエンジニアが、最新の攻撃手法と開発現場の両視点から、精度の高い診断と現実的な改善策をご提供します。
課題編 / ソリューション編 / サービス編 3部作で公開中!
