サイバーセキュリティ
SynXは、最先端の脆弱性診断技術とペネトレーションテストを軸に、あらゆるシステムのセキュリティリスクを明らかにし、「安全性」と「信頼性」の向上に貢献します。Webアプリケーションやクラウド環境、IoT、AI、ブロックチェーンといった多様な領域に対応し、潜在的な脆弱性の洗い出しからリスク評価、対策提案までを一貫して実施。さらに、ソースコードレベルの解析やスマートコントラクト診断など、最新技術に即した診断にも対応しています。
また、セキュリティコンサルティングや教育支援、SOCサービスまで幅広く展開し、企業のセキュリティ体制を“守る・育てる・進化させる”パートナーとして、持続的な安全基盤の構築を支援します。
また、セキュリティコンサルティングや教育支援、SOCサービスまで幅広く展開し、企業のセキュリティ体制を“守る・育てる・進化させる”パートナーとして、持続的な安全基盤の構築を支援します。
What we offer
サービス内容
-
脆弱性診断(セキュリティ診断)
脆弱性診断(セキュリティ診断)サービスの特長攻撃者視点で、実運用に即した脆弱性を徹底検証
SynXでは、自動診断ツールによるスキャンと、ホワイトハッカーによる手動診断を組み合わせることで、一般的な診断では発見が難しい脆弱性まで可視化します。
•Webアプリケーション診断
リスクレベル、攻撃の難易度、再現シナリオを分析し、最適な対策をレポートとしてご提供します。
単なる“脆弱性の発見”にとどまらず、早期の改善や再発防止までを見据えた支援を行います。
•スマホアプリ診断
•クラウド診断
•プラットフォーム診断(ネットワーク診断)
•デスクトップアプリ診断
•ソースコード診断
•IoT診断
•NFT・ブロックチェーン診断(スマートコントラクト診断)
•AIセキュリティ診断(LLMセキュリティ診断) -
ぺネトレーションテスト(侵入テスト)
ペネトレーションテスト(侵入テスト)サービスの特長実攻撃を再現し、防御力・検知力・復旧力を総合評価
SynXのホワイトハッカーが、実際の運用環境に近い条件で、攻撃者の視点に立ったシナリオや目的に基づいて、防御体制の弱点を検証します。
脆弱性の発見にとどまらず、攻撃経路の可視化、被害範囲の推定、再発防止策の提案まで含め、包括的に支援を行います。
•Webペネトレーションテスト
•ネットワークペネトレーションテスト
•IoTペネトレーションテスト
•ゲームペネトレーションテスト -
セキュリティコンサルティング
企業のセキュリティ課題を“攻撃者視点”から可視化し、戦略的に改善へ導くコンサルティングを提供しています。 Webアプリケーションやクラウド環境、IoT領域まで幅広くカバーし、脆弱性診断・ペネトレーションテスト・レッドチーム演習などの実績を基に、実効性のあるセキュリティ強化策を提案。
また、CSIRTやプライベートSOCの設計支援、インシデント対応体制の整備など、組織全体のセキュリティ運用力向上を支援します。
PTWグループの国際的な知見とSynXの国内コンサルタントが連携し、企業の持続的な安全性確保をサポートします。 -
セキュリティ教育支援
セキュリティリテラシーの向上と人材育成を目的とした教育プログラムを展開。 現場経験豊富なエンジニアが講師となり、実際の攻撃手法を再現した演習(ハンズオン型トレーニング)を通して、CSIRT担当者や開発エンジニアの実践力を育てます。 -
SOC/運用支援サービス
「見える化」「継続的監視」「迅速対応」「継続改善」を軸に、伴走型のセキュリティ運用を実現します。 AIによるログ分析と専門アナリストの監視を組み合わせ、脅威検知から対応までを一貫支援。
既存のIT運用やクラウド監視とも連携し、企業のセキュリティ体制を強化します。
さらに、導入初期の体制設計から運用後の改善まで、長期的なパートナーとしてお客様と共に“守り続ける仕組み”を構築します。
Web Application Diagnostics
Webアプリケーション診断
Vulnerability Assessment Methods
脆弱性診断の手法
ブラックボックス診断
弊社のホワイトハッカー(診断員)が、実際のハッカーと同じ条件下で、ソースコードなどの内部情報を閲覧せずに行う診断手法で、弊社が特に強みとしているアプローチです。ブラックボックス診断では、ハッカー本来の攻撃手法や攻撃における思考プロセスに基づいて脆弱性を洗い出すので、より本番環境に近い状況での診断が可能です。
ホワイトボックス診断
ソースコードを参照し、内部構造の情報に基づいて行う診断です。ホワイトボックス診断では、ブラックボックス診断では発見することが困難な脆弱性をソースコードレベルで発見することが可能です。
弊社のホワイトハッカー(診断員)が、実際のハッカーと同じ条件下で、ソースコードなどの内部情報を閲覧せずに行う診断手法で、弊社が特に強みとしているアプローチです。ブラックボックス診断では、ハッカー本来の攻撃手法や攻撃における思考プロセスに基づいて脆弱性を洗い出すので、より本番環境に近い状況での診断が可能です。
ホワイトボックス診断
ソースコードを参照し、内部構造の情報に基づいて行う診断です。ホワイトボックス診断では、ブラックボックス診断では発見することが困難な脆弱性をソースコードレベルで発見することが可能です。
Process for obtaining a quotation and required preparations before the assessment
◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
お見積りの流れと診断までにご用意いただくもの
O1 | お見積りに必要なもの
◆API仕様書
◆エンドポイント(パス)リスト◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
O2 | 診断までにご用意いただくもの
◆診断環境
(診断対象のWebサービスのURL、アクセス権の付与等)
◆サーバーのグローバルIP(※ネットワーク診断時)
Web・モバイルアプリケーション診断項目一覧
| |||||||||||||||||||||||||||||||||||||||||||||||
Network diagnostics
ネットワーク診断
Network Assessment (Platform Assessment)
ネットワーク診断
ネットワーク診断
Webサーバーやネットワーク機器等に潜む脆弱性を可視化します。
インターネットに公開されているサーバーや診断対象ネットワークに存在するネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、ツールと手動診断(ブラックボックスの手法)にて診断します。
・クラウドサービスのサーバー
・オンプレミスのサーバー
・IoTデバイス
インターネットに公開されているサーバーや診断対象ネットワークに存在するネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、ツールと手動診断(ブラックボックスの手法)にて診断します。
・クラウドサービスのサーバー
・オンプレミスのサーバー
・IoTデバイス
診断イメージ
Diagnostic Workflow
診断フロー
-
O1 | ネットワーク構成をヒアリング
ネットワークの全体像を理解し、診断対象範囲をご決定頂いた上で必要な工数を算出します。併せて、サーバー数を基にお見積りします。 -
O2 | ツールおよび手動での
ネットワーク診断ツールを使用し、既知の脆弱性の確認や設定不備、単純なセキュリティ対策の漏れ等を検出します。また、ツールでは検出できない脆弱性に関しては診断員の手動診断にて調査します。 -
O3 | 診断報告レポート提出
全体及び各脆弱性についてリスク評価し、発見した脆弱性の詳細をご報告します。また、それらによるリスクや推奨する対策方法についてもご説明します。 ※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。
| 診断項目 |
|
|
ホストのスキャン
| |
|
ポートスキャン
|
TCP全ポートに対するポートスキャンにより、ホストの応答を確認します。 |
|
実行中のサービスの検出
|
バナー情報などからソフトウェアバージョンを検知します。 バージョンに存在する脆弱性を調査します。 |
|
SSL/TLSの脆弱性
| |
|
SSL/TLSプロトコルの調査
|
検出された全てのソフトウェアにおいて、脆弱性が存在する SSL / TLS プロトコルをサポートしていないか診断します。 |
|
SSL/TLS暗号スイートの調査
|
検出された全てのソフトウェアにおいて、強度等に問題のある暗号化方式のサポートを確認します。 |
|
ネットワークサービスの脆弱性
| |
|
DNSに関する調査
|
再帰問い合わせの可否を確認します。 DNSゾーン転送の可否を確認します。 |
|
メールサーバに関する調査
|
メールサーバでの第三者中継の可否を確認します。 VRFYコマンド、EXPNコマンドの可否を確認します。 |
|
FTPに関する調査
|
Anonymousユーザの許可・権限を確認します。 |
|
Windowsネットワークサービスに関する調査
|
インターネット経由でのアクセス可否を確認します。 システム・ユーザ情報の取得可否を確認します。 バナー情報などからソフトウェアバージョンを検知します。 |
|
SNMPに関する調査
|
SNMPによるシステム情報の取得可否を確認します。 デフォルトコミュニティ名(public,private)による接続可否を確認します。 |
|
SSHサーバに関する調査
|
パスワード認証が許可されていないか確認します。 |
|
データベースサーバに関する調査
|
インターネット経由でのアクセス可否を確認します。 |
|
認証に関わる脆弱性
| |
|
認証情報の平文での送信に関する調査
|
検出された機器、およびソフトウェアにおいて認証情報が平文で送信されていないかを確認します。 |
|
SSL/TLSの脆弱性
| |
|
Windowsの既知の脆弱性
|
バージョン・得られたシステム情報より、未適用パッチを特定します。 |
|
その他各種OSの既知の脆弱性
|
バージョン情報より既知の脆弱性を特定します。 |
|
悪意あるソフトウェア
| |
|
バックドアの調査
|
バックドアの可能性が高い、非標準ポートで動作しているサービスを確認します。 |
|
その他各種OSの既知の脆弱性
|
P2Pソフトウェアが動作していないか確認します。 |
|
ネットワーク機器の脆弱性
| |
|
各種ネットワーク機器の既知の脆弱性
|
機器が特定できた場合、既知の脆弱性を確認します。 |
Game Penetration Testing
ゲームペネトレーションテスト
Process for obtaining a quotation and required preparations before the assessment
◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
お見積りの流れと診断までにご用意いただくもの
O1 | お見積りに必要なもの
◆API仕様書
◆エンドポイント(パス)リスト◆画面遷移図
◆対象のサーバー数(※ネットワーク診断時)
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。
O2 | 診断までにご用意いただくもの
◆診断環境
(診断対象のWebサービスのURL、アクセス権の付与等)
◆サーバーのグローバルIP(※ネットワーク診断時)
| 診断項目 | |
サーバーサイドの脆弱性 | クライアントサイドの脆弱性 |
ガチャの回数制限の回避 | 壁貫通移動 |
未所持アイテムの使用 | 戦闘での即時勝利 |
クエストの即時クリア | プレイヤーの無敵化 |
アカウントテイクオーバー | クエスト制限時間の不正操作 |
他ユーザーアイテムの強制削除 | 暗号化されたアセットの復号 |
ランクマッチの結果改ざん | 衣装の装着制限の回避 |
課金アイテムの無限増殖 | スキルの連続発動 |
他ユーザーの強制移動 | 獲得経験値の不正増加 |
アイテム購入における不正 | 通信データの傍受・改変 |
リバースエンジニアリング対策の強度に関する脆弱性 |
ファイル改竄検知やroot化検知などの回避 |
Bot対策の強度を検査 |
プラットフォームサイドの設定不備に関する脆弱性 |
バージョン管理ツールの設定不備 |
リバースプロキシの設定不備 |
| その他、ゲームの特性に応じた診断項目にて診断を実施します。 |
IoT Diagnosis
IoT診断
Vulnerability Assessment for IoT Devices
IoTデバイスへの脆弱性診断
ファームウェア解析(ソフトウェア解析)
ファームウェア(ソフトウェア)を逆アセンブリし、処理フローの解析などを行い、脆弱性の有無を評価します。
動的解析
通信経路のパケット傍受・改変やインタフェーステストを行い、サーバーサイドの脆弱性やBluetoothなどの通信規格の脆弱性を評価します。
Smart Contract Diagnostics
スマートコントラクト診断
Security Vulnerability Assessment for NFT Applications and Smart Contracts
NFTアプリ・スマートコントラクトへの脆弱性診断
スマートコントラクト自体の脆弱性
ブロックチェーン上(オンチェーン)で実行されるスマートコントラクトに対する脆弱性診断です。SWC Registryなどの基準に応じてソースコードから診断します。診断環境にて実際の疑似攻撃まで実行することも可能です。
アプリケーション診断
オフチェーンのアプリケーション本体に対する脆弱性診断です。各NFTゲームやNFTアプリケーションの特性に合わせて、アイテムの購入やガチャ、データベースの更新などの機能において、サーバーサイドの脆弱性が存在するかどうかを診断します。
Smart Contract Assessment Items
スマートコントラクト診断項目(一部抜粋)
弊社のスマートコントラクト脆弱性診断の項目は、スマートコントラクトの脆弱性やセキュリティ上の問題を分類・識別するためのリファレンスリストである、SWC Registry(Smart Contract Weakness Classification Registry)の基準に準拠しています。また、弊社の独自の観点・視点からも脆弱性診断を実施します。 参照:https://swcregistry.io/
•Re-Entrancy(リエントランシー)攻撃
スマートコントラクトが外部のスマートコントラクトを呼び出す際に、メモリの状態とプロセスを一時停止する仕様とfallback関数の呼び出しの仕組みを組み合わせた攻撃。Etherの無限引き出しに繋がる影響度の高い脆弱性。
•DoS with Failed Call
外部コントラクトを呼び出す際の例外処理が存在しないことなどに起因する、外部呼び出しのコントラクトを意図的に失敗させて無限ループを起こしDoS攻撃を引き起こす脆弱性。
•Integer Overflow and Underflow
バージョンの古いSolidityなどを使用することで発生する、数値のオーバーフローやアンダーフローに関する脆弱性。
•Self Destruct
selfdestructメソッドを実行することによって、コントラクトが所持している全Etherを送信し、requireやassertなどのGuard句を回避する脆弱性。
•Re-Entrancy(リエントランシー)攻撃
スマートコントラクトが外部のスマートコントラクトを呼び出す際に、メモリの状態とプロセスを一時停止する仕様とfallback関数の呼び出しの仕組みを組み合わせた攻撃。Etherの無限引き出しに繋がる影響度の高い脆弱性。
•DoS with Failed Call
外部コントラクトを呼び出す際の例外処理が存在しないことなどに起因する、外部呼び出しのコントラクトを意図的に失敗させて無限ループを起こしDoS攻撃を引き起こす脆弱性。
•Integer Overflow and Underflow
バージョンの古いSolidityなどを使用することで発生する、数値のオーバーフローやアンダーフローに関する脆弱性。
•Self Destruct
selfdestructメソッドを実行することによって、コントラクトが所持している全Etherを送信し、requireやassertなどのGuard句を回避する脆弱性。
Scope of Vulnerability Assessment
脆弱性診断の対象
Services List