スマートフォン解析 top

TOP > グローバルセキュリティエキスパート株式会社/UBsecure VEX導入事例

導入事例のご紹介


本導入事例内容は、株式会社ユービーセキュア様の制作した記事をもとに転載を行っております。

テーマ theme

脆弱性診断サービスを提供するプロ目線で診断ツールを検討し、
高品質かつ操作性の高いVEXを選定。

企業紹介 company

  • グローバルセキュリティエキスパート株式会社
  • グローバルセキュリティエキスパート 1997年に株式会社ビジネスブレイン太田昭和のグループ会社である株式会社ギャブコンサルティングにて、タイガーチームサービス(侵入検査/模擬攻撃検査)の提供を開始し、2000年に情報セキュリティ専門コンサルティング会社として設立されたグローバルセキュリティエキスパート株式会社(GSX)。設立当初から、セキュリティポリシーの策定ならびに、定着化支援、システム監査、内部統制支援、またタイガーチームサービスによる質の高い脆弱性診断サービス、コンサルティングを提供。情報セキュリティの問題点を総合的にとらえ、専門家として常に最新の技術を習得し、ハイテク犯罪やサイバーテロに対抗しうる社会基盤の構築とともに、企業の情報管理態勢強化の支援にも取り組んでいる。

導入製品 product

VEX
従来では手動でしか検査が行うことができなかった画面遷移が複雑なWeb アプリケーションや、入力画面と出力画面が異なるセカンドオーダーの脆弱性に対しても検査の実施が可能です。

プロフィール profile

  • 青柳 史郎 グローバルセキュリティ
    エキスパート株式会社
    取締役 経営企画本部長 兼
    営業本部長
    青柳 史郎
  • 野口 良樹 グローバルセキュリティ
    エキスパート株式会社
    サイバーセキュリティ 事業部 タイガー チームサービス部 プリンシパル
    野口 良樹

プロローグ prologue

インターネット黎明期より手動による脆弱性診断ビジネスを行い、数千プロジェクトに及ぶ実績を持つグローバルセキュリティエキスパート株式会社のタイガーチームサービス事業。2010年にVEXを導入以降、ユーザーとしてだけでなく販売代理店でもある立場から、高品質かつ安心の診断サービス提供の実現についてご紹介させていただきます。

インタビュー interview

■お客様にとって効率的で優先度の高い診断プランを提供

青柳
GSXでは、ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)がお客様のネットワークシステムに疑似攻撃を実施し、実害につながりうるシステム内の脆弱性を検出し、対策方法を含めてご報告する「タイガーチームサービス」という脆弱性診断サービスを提供しています。

GSXならではと言えるサービスの特徴は、数ある診断方法・対象のなかから、お客様の目的に沿った具体的なプランをご提案するところです。診断方法としては、ホワイトハッカーの手動オペレーションによる、高度な診断を基本メニューとしています。

脆弱性診断において、すべての診断対象に対しホワイトハッカーによる手動オペレーションを実施し高精度を追い求めることは理想と言えます。しかし、同時に膨大なコストが発生するため、多くの企業にとって現実的なプランではない場合もあります。

私たちは、お客様にとって優先すべき課題・対象を調査し、脆弱性とそれによるセキュリティ事故発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策をご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。

ご提案の時点で、営業担当者だけでなく、ホワイトハッカーが直接、実際のサイトを調査してプランを策定できる体制もGSXならではの強みと言えます。

■脆弱性診断サービスを提供するプロ目線でVEXを選択

野口
GSXが提供する脆弱性診断サービスにおいて、Webサイトの診断対象のボリュームを優先される企業様向けのサービスを提供するために、2010年から診断ツールとして採用しているのがVEXです。診断サービスを提供する側として、ツールの選定は慎重に検討を重ねていきました。脆弱性検出率の高さはもちろんですが、最も重要視したのは“誤検知の少なさ”です。ツールによる診断には少なからず誤検知はつきものです。診断スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアがひとつひとつ確認する必要があり、とても効率的とは言えません。ツールを比較検証する中で、突出して誤検知が少なかったのがVEXでした。

VEXは2016年にGUIを大きく変更しました。それまでに蓄積されたデータ分析をもとに大幅なGUIの改修を行っており、改修直後はあまりの変化に驚きましたが、実際に使ってみると直感的に操作しやすいだけでなく、国産製品ならではの、日本人になじみのあるボタン配置や設計など、非常に使いやすいとエンジニアの間でも好評です。また、日本語による多彩なレポート機能も侮れません。競合製品のほとんどは海外製のため英語のレポートを翻訳する必要があります。VEXのレポートは日本語であるだけでなく、開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じたさまざまなフォーマットでのレポートを出力することが可能です。実際、日本企業のユーザーからのさまざまなリクエストを機能へ反映しているため、まさに、かゆいところに手が届く設計であると感じています。こうした視認性や操作性の高さもVEXの大きな評価ポイントです。

■VEXによる企業のセキュリティ管理体制強化を提案

青柳
昨今、Webアプリケーションサービスの拡大、それに伴い増加し続けるセキュリティ事故を背景に、ますます脆弱性診断の需要は高まっております。以前は大規模なWebサイトを長期にわたって診断する依頼がほとんどでしたが、近年は中規模なWebサイトであっても公開前や公開後の定期的な診断を要する企業様が増えてきている傾向にあります。その結果、診断の依頼が集中する時期はセキュリティサービスベンダーのリソースが枯渇し、診断時期が先延ばしになることも多く、それにより診断サービスの機会損失やセキュリティリスクの放置という問題につながっています。例えば、企業でECサイトをオープンする予定があるのに脆弱性診断が間に合わず、予定日にローンチできないといった問題が頻発しているのが現状です。

そこで、GSXは、VEXの販売代理店として、お客様ご自身が診断ツールを使用できるようご提案しております。現代のサイバーセキュリティには「多層防御」が不可欠です。複数の防御の“層”を作り、一つの層が破られても別の層で守られるという考え方です。高精度のツールを自社で使うことができれば、新しいWebサービスの公開時や定期的な診断など、企業が必要とするタイミングで脆弱性診断を行うことができます。人間の健康管理に例えると、“日々の体温計測定”としてVEXによる定期診断を行い、それだけではセキュリティホールを見落としかねないので、“年に一度の人間ドック”としてベンダーによる手動診断を実施することで多層防御の実現を目指します。

お客様自身が診断ツールを使用する場合、視認性・操作性の高さがより重視されます。その点で、私たちはVEXユーザーとして何より使いやすさを実感しておりますので自信を持って提供しています。また、ユーザーであるからこそVEXのノウハウ・知見も多く蓄積しておりますので、お客様にもホスピタリティの高いサポートを行うことができます。

顧客サポートについては、ユービーセキュアさんからも丁寧かつ迅速にご対応いただいているので安心してご案内しています。今後ともユービーセキュアさんと足並みをそろえて、高品質かつ安心のサービスをご提供し続けたいと思っております。

Copyright (c)UBsecure Inc. All Rights Reserved.

企業情報 company profile

企業名
グローバルセキュリティエキスパート株式会社
本社所在地
東京都港区海岸1丁目15番1号 スズエベイディアム4F
設立
2000年4月
資本金
1億円
事業内容
国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、脆弱性診断、コンサルティング、サイバーセキュリティサービス、教育事業にいたる広範な情報セキュリティサービスを提供しています。

情報セキュリティポリシーの国際標準基準となった英国規格協会(BSI)のBS7799(現ISO27000)を日本に初めて紹介し、高品質な情報セキュリティコンサルテーションを行っています。

さらに、高い技術を有し、システムの脆弱性の検出のためにプラットフォーム診断やWebアプリケーション診断、スマホアプリセキュリティ診断などさまざまな脆弱性診断を行う【タイガーチームサービス(TIGER TEAM SERVICE)本部】、標的型メール訓練サービスやマルウェア感染調査をはじめとする新しい脅威に対抗するサービス/ソリューションをご提案する【サイバーセキュリティサービス本部】、企業様のセキュリティポリシーの策定・リスクアセスメント・システム監査または、ISMSやPマーク取得支援、PCI DSS準拠認定支援、CSIRT構築運用支援サービスなどを行っている【コンサルティング本部】、情報セキュリティ人材育成(EC-Council)事業として認定トレーニング及び認定資格試験として、認定ネットワークディフェンダー(Certified Network Defender)、認定ホワイトハッカー(Certified Ethical Hacker)などの講座をご提供する【エデュケーション本部】を組織しています。また【R&D本部準備室】にはGSXサイバーセキュリティ研究所(GSX Cyber Security Research Institute)を擁し、セキュリティ製品評価やサイバー攻撃に関する情報収集及び分析、セキュリティインシデント対応要員の育成を進めており、問題指摘のみならず、インシデントに対する解決策までをワンストップで提供できる体制を整えています。

グローバルセキュリティエキスパート株式会社 導入事例紹介リーフレット

株式会社ユービーセキュア様ご掲載、導入事例内容はこちらから

お問い合わせはコチラ