本セミナーはWebセミナーです。

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、事前に以下のURLでテストをお願い致します。 https://zoom.us/test ※2020年7月に実施したセミナーと類似した内容になります。予めご了承ください。

他人事ではない大手企業の情報漏洩、不正アクセス事故

DX推進が加速する中、キャッシュレス決済アプリの不正利用や、銀行口座からの資金流出事件が相次いでいます。脆弱性検査などのセキュリティ対策をとっている一部上場企業など大手のサービスにおいても、攻撃者によるハッキングや不正アクセスを避けられず、大規模な情報漏洩や金融被害が発生。サイバーセキュリティ対策を疎かにすることで、取り返しのつかない信頼損失に繋がります。

現在のリスク対策において脆弱性検査に求められるもの

相次ぐサイバー攻撃への対策において、企業で行うべき「脆弱性検査」とはどのようなものなのでしょうか。 当社では３つの要素が必要と考えています。

①豊富な経験・多様な観点を持つ技術者による検査 ②既知の脆弱性の発見に加え、実際に悪用が再現可能な未知の脆弱性の発見 ③発見された脆弱性への迅速な対応のため、検査過程をリアルタイムで把握

バグバウンティ（バグ報奨金制度）のメリットと課題

上記の課題に対するソリューションとして、GoogleやFacebookも導入しているバグバウンティという仕組みがあります。企業が自社のWebサービスやアプリケーションをホワイトハッカーに公開し、発見した脆弱性に対してホワイトハッカーに報奨金を支払う制度です。定常的なセキュリティ検査だけではリソースも技術も限界がある場合にメリットのある手法です。一方で、参加するホワイトハッカーの管理や、報奨金設定の難しさといった課題があります。

「クラウドソーシング・ペネトレーションテスト×定額バグバウンティ」　ー複数のホワイトハッカーの視点を入れて、クリティカルな脆弱性発見につなげる

本セミナーテーマでもあり、いま注目されるのが「クラウドソーシング・ペネトレーションテスト」と呼ばれる手法です。世界最高峰のホワイトハッカー数十名が、あらゆる手法を使ってアプリケーションやWebサイトの脆弱性を365日24時間体制で検査します。定常的なセキュリティ検査だけでは見落としてしまうバグを、複数のハッカーの視点を通すことで発見する可能性を高めます。多くのハッカーにテストに参加してもらい、検査へのモチベーションを高めてもらうために、クラウドソーシング・ペネトレーションテストではバグバウンティの手法を取り入れています。バグバウンティの手法を取り入れた検査を定額で実施できるため、企業側の導入メリットが高いことが特徴です。

今回のセミナーでは、脆弱性診断、ペネトレーションテスト、バグバウンティについてのメリットや問題点を解説しながら、クラウドソーシング・ペネトレーションの仕組みや、米ぺンタゴンが指名するクラウドソーシング・ペネトレーションテストを提供するサービス「Synack」の特徴および導入事例をご紹介します。

プログラム

15:45～16:00　受付

16:00～16:05　オープニング

16:05～16:40　富士ソフトのセキュア開発の取り組み

富士ソフト株式会社

・OWASP Proactive Controlsをベースとしたセキュア開発 ・脆弱性診断の内製化 ・脆弱性診断をやってみて分かった課題：トリアージ結果の信憑性      

16:40～17:10　クラウドソーシング・セキュリティテストと「Synack」サービス説明　

株式会社レッドチーム・テクノロジーズ

・新しいセキュリティ対策「クラウドソーシング・セキュリティテスト」 ・「クラウドソーシング・セキュリティテスト」と脆弱性検査の違い ・Synackの技術的な仕組み ・Synackの特長、実績 ・Synackの利用事例 ・レッドチームテクノロジーズが提供するサポート

17:10～17:30　質疑応答

主催

株式会社レッドチーム・テクノロジーズ

共催

富士ソフト株式会社

本セミナーは、6/10に開催された「ホワイトハッカーが高品質な脆弱性診断を行う、クラウドソース・ペネトレーションテストとは？」セミナーと同じ内容です。

本セミナーは、Webセミナーです。

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、事前に以下のURLでテストをお願い致します。 https://zoom.us/test

従来の脆弱性診断やペネトレーションテストでは不正アクセスを防げない

社会の情報システムへの依存度が高まるに従い、セキュリティ対策は益々重要になっています。 Webサービスやモバイルアプリなどの開発においては、テストフェーズで脆弱性診断を実施することも多いと思います。 しかしこれらは、チェックリストベースの検査であること、または少人数の検査チームで実施されることから検査できる範囲が限定されてしまいます。 従って、これらだけではセキュリティリスクを事前に検知するのは難しくなっています。

ホワイトハッカーが高品質な脆弱性診断を行う、クラウドソース・ペネトレーションテストとは？

そこで注目されているのが、「クラウドソース・ペネトレーションテスト」と呼ばれる手法です。 世界トップレベルのホワイトハッカー数十名が参加し、24時間体制で、あらゆる手法を使って対象になったアプリケーションやWebサイトの脆弱性を検査します。

「バグバウンティ（バグ報奨金制度）」との違いは？

類似の仕組みとして、「バグバウンティ」があります。 バグバウンティは、企業が自社のWebサービスやアプリケーションをホワイトハッカーに公開し、ホワイトハッカーが脆弱性を発見して報告した場合に報奨金を支払う仕組みです。

クラウドソース・ペネトレーションテストとバグバウンティはどう違うのでしょうか？ どのようなメリット／デメリットがあるのでしょうか？

米ぺンタゴンが指名するクラウドソース・ペネトレーションテスト

本Webセミナーでは、クラウドソース・ペネトレーションテストについて、従来の脆弱性診断やペネトレーションテストの問題点や、バグバウンティとの違いを含めて解説します。 また、米ぺンタゴンが指名するクラウドソース・ペネトレーションテスト「Synack」について紹介します。

ラック×レッドチーム・テクノロジーズの共催セミナーとして開催致します。

プログラム

15:45～16:00　受付

16:00～16:40　ホワイトハッカーが高品質な脆弱性診断を行う、クラウドソース・ペネトレーションテストとは？

（プレゼン内容） ・従来の脆弱性診断やペネトレーションテストの問題点 ・クラウドソース・ペネトレーションテストとは？ ・バグバウンティとの違い ・Synackの紹介

16:40～17:00　質疑応答

主催（共催）

株式会社ラック 株式会社レッドチーム・テクノロジーズ