ASCII STARTUPについて

メルマガはこちらから

PAGE
TOP

  1. ASCII STARTUP
  2. クラウドソース・セキュリティテストの米Synack(シナック)、日本のカントリーマネージャーに三好一久が就任
  • はてなブックマーク シェアボタン
  • LinkedIn シェアボタン

クラウドソース・セキュリティテストの米Synack(シナック)、日本のカントリーマネージャーに三好一久が就任

PR TIMES

Synack, Inc.
クラウドソース・セキュリティテストをグローバルで提供するSynack(本社:カリフォルニア州レッドウッドシティ、CEO:Jay Kaplan)は日本国内での展開を加速するため、2021年8月2日付けで日本のカントリーマネージャーとして三好一久を任命しました。三好はセキュリティ業界で20年程度の経験があり、アメリカのMcAfee社やドイツのAvira社などを通じてセキュリティ業界を牽引する一人として、これまで幅広い領域で活躍してきました。Synackはアメリカに続き、ヨーロッパでもビジネスが順調に伸びており、今後のアジア本格展開の柱として、日本でのクラウドソース・セキュリティテストの普及をリードしていきます。


Synack Japanのカントリーマネージャー就任に際し、三好は次のように述べています。「弊社のプラットフォームは利用する企業と、擬似攻撃を行うエシカル(倫理的な)ハッカーの双方に大きなメリットがあります。日本ではセキュリティ人材の不足やコストが長期的な課題となっており、今後各企業が優秀なセキュリティ人材を抱えることは、ますます厳しくなってきます。そのような中で弊社のプラットフォームはハッカーの立ち位置を根本的に変える可能性があると考えています。日本では政府主導の働き方改革のもと、副業を行うことが一般的になってきましたが、Synackのテストチームには、スキルさえあれば副業として、時間や場所にとらわれず参加できます。既に上位の参加者には数億円稼ぐ人もおり、弊社からの報奨金だけで生計を立てる人も増えてきました。優秀な人材にとっては新たな収入チャネルになりますし、エシカルハッカーは今後若い人が目指す専門職の一つとして一般的になっていくでしょう。企業側もSynackが提供する高い信頼性の下、一企業で確保することが難しかった、あるいは今後ますます難しくなるであろう、高い知見や才能をもつセキュリティのエキスパートへの継続的なアクセスが可能となります。私はSynackのプラットフォームが架け橋となることで、日本全体のセキュリティレベルの底上げに貢献できればと期待しています。」

<Synackについて>
米国国防総省や国際銀行も利用するエシカルハッカーによる攻撃耐性の検査・管理プラットフォーム

Synackは世界中の1500名以上の高度なスキルを有するエシカルハッカーと契約しSynack Red Team(以下SRT)を形成しています。SRTにより攻撃者の視点で企業や政府機関のシステムの攻撃耐性を検査するサービスです。実際の攻撃者の視点でエクスプロイト可能な脆弱性を発見し、長期的な視点で攻撃耐性の変化や傾向をモニタリングすることで、経営者やセキュリティ担当者は現実の攻守の実態に即した戦略や対策をとることが可能になります。なお、従来型のいわゆる単発のレポートサービスではなく、顧客/SRTの双方が参加するプラットフォームとなっており、顧客は必要に応じていつでもポータルからテストを即時中断することもでき、発見された脆弱性に関してSRTとコミュニケーションを取ることもできます。また、AI等を駆使したスキャナー、特定の業界標準やフレームワークに対応したテスト、パッチの有効性評価等の豊富な機能も備えており、サービスは単発並びに継続的なサブスクリプションとして提供されます。日本国内ではレッドチーム・テクノロジーズ社を初め大手セキュリティサービス企業を通じてこれまで3年近く展開しており、すでに広い業種の大手企業において導入実績があります。今後日本ではさらに販売パートナー、協業パートナーとの連携を深め展開を加速させる予定です。

<特徴>
■AIと人手を活用した効果的かつスケーラブルなセキュリティテスト
AIスキャナーと、SRTを活用し、機械による効率性と人間の創造性を組み合わせた効果的かつスケーラブルなセキュリティテストを提供します。特に人手による部分はバグバウンティの仕組みを応用し、契約したSRTの多数の参加を促すと同時に脆弱性発見のインセンティブを最大化します。お客様にとっては高い効果が見込めるとともに、複数のアプリケーションやシステムのテストを並行的に実施したり、年間を通じた継続的なセキュリティ対策にご活用いただけます。

■攻撃者視点による攻撃耐性を評価・可視化
テスト結果やその後の対応状況等、様々な要素を取り入れたSynackの独自の評価手法により、テスト対象システムの攻撃耐性を客観的に評価します。顧客はクラウドで提供されるポータルシステムを利用することで、結果を確認することができます。また、継続的なサブスクリプションを購入した場合、新規リリースや修正対応に伴う攻撃耐性の変化や傾向を業界平均等と比較しながら長期的にモニタリングすることができます。

■脆弱性と対応状況を継続的に管理
ポータルではテストの進行状況や発見された脆弱性の深刻度等に関するサマリや詳細情報をリアルタイムに確認できます。検出された脆弱性はAIやSRTにより実際にエクスプロイト可能かどうかまで判別されるため、顧客は優先度に基づいた対応を行うことができます。また、フォローアップとして顧客が修正した後の再試験やパッチ有効性の評価も行われます。また、詳細レポートやエグゼクティブサマリをオンデマンドで出力でき、内容も柔軟にカスタマイズ可能です。

■擬似攻撃をスムーズかつ安全に行うプラットフォーム
SRTによるテストは全てLaunch Pointと呼ばれるゲートウェイを通過します。また、テストを行う端末は定められた仮想クライアントに限定することも可能です。そのため、緊急時には顧客がポータル上からいつでも試験を中断することができ、テストに関する全ての通信トラフィックは万が一に備え記録されます。また、脆弱性に関して顧客はSRTとコミュニケーションを取ることも可能です。

■厳しいスクリーニングによるリスクの排除
一般的にバグバウンティ(報奨金提供)方式のサービスは高いメリットもある一方で、リスク管理は利用者側に求められます。(本来望ましくない相手に報奨金が支払われる等)。その為、弊社では、SRT採用の際には高度な試験や第三者による厳格なバックグラウンドチェックを行った上で、契約を取り交わしています。これにより、多様性とスキルレベルの高い人材を維持しつつも、バグバウンティでは払拭できない顧客のデメリットを排除しています。故に機密度の高いシステムにおいても多くの実績があり、アメリカ政府や国防機関、国際的な金融機関でも採用されています。


Webサイト:https://www.synack.com/
お問い合わせ:contact.jp@synack.com