サイバーセキュリティ

青い光の曲線が流れるように描かれた抽象的なデザイン
ホワイトハッカーによる多種多様な脆弱性診断  
SynXでは診断対象の特性に応じた多彩な診断が可能です。自動診断ツールと手動診断を組み合わせたハイブリッド診断により、一般的な脆弱性診断では発見できない脆弱性まで検出できます。検出した脆弱性は、リスクレベルや攻撃難易度を算出し、対策とともにレポートにてご報告いたします。

ペネトレーションテスト 
社用コンピュータやスマートフォン、サーバーなどの社内ネットワークに対し、攻撃者が侵入可能かどうかを事前に診断するサービスです。侵入シナリオに応じてソーシャルエンジニアリングやブルートフォース攻撃などの通常の脆弱性診断では実施しない攻撃手法を組み合わせて侵入を試みるため、別名で侵入テストとも呼ばれます。 実際に個人情報の流出や不正アクセスが発生した場合、企業に対する著しい経済被害をもたらすため、SynXが事前にテストすることで、早期発見・早期対応することが可能となります。
What we offer

サービス一覧

Vulnerability-Assessment

脆弱性診断

Service list

サービス一覧

  • 耳と音波を表す青いアイコン。

    脆弱性診断

    •Webアプリケーション診断

      -WebSocket診断

      -gRPC診断

      -REST API診断

      -GraphQL診断

    •プラットフォーム診断(ネットワーク診断)

    •スマホアプリ診断•デスクトップアプリ診断•クラウド設定診断

    •ソースコード診断

    •IoT診断•NFT

    •ブロックチェーン診断(スマートコントラクト診断)

    •AIセキュリティ診断(LLMセキュリティ診断)




  • 耳と音波を表す青いアイコン。

    ペネトレーションテスト

    •Webペネトレーションテスト
    •ネットワークペネトレーションテスト
    •IoTペネトレーショントレーションテスト
    •ゲームペネトレーションテスト

  • 耳と音波を表す青いアイコン。

    セキュリティコンサルティング


  • 耳と音波を表す青いアイコン。

    セキュリティ教育支援


Vulnerability Assessment Methods

脆弱性診断の手法

ブラックボックス診断
弊社のホワイトハッカー(診断員)が、実際のハッカーと同じ条件下で、ソースコードなどの内部情報を閲覧せずに行う診断手法で、弊社が特に強みとしているアプローチです。ブラックボックス診断では、ハッカー本来の攻撃手法や攻撃における思考プロセスに基づいて脆弱性を洗い出すので、より本番環境に近い状況での診断が可能です。

ホワイトボックス診断
ソースコードを参照し、内部構造の情報に基づいて行う診断です。ホワイトボックス診断では、ブラックボックス診断では発見することが困難な脆弱性をソースコードレベルで発見することが可能です。
お問い合わせはこちら
オフィスの会議テーブルを囲んで打ち合わせをしている4人のビジネスパーソン。ノートパソコンやタブレットを使いながら、メモを取ったり意見交換をしている様子。

脆弱性診断のステップ
Process for obtaining a quotation and required preparations before the assessment

お見積りの流れと診断までにご用意いただくもの

O1 | お見積りに必要なもの

◆API仕様書 

◆エンドポイント(パス)リスト 
◆画面遷移図  
◆対象のサーバー数(※ネットワーク診断時)  
※ブラックボックス診断とホワイトボックス診断両方のお見積りや、ご予算・納期に合わせたご提案も可能です。 


O2 | 診断までにご用意いただくもの

◆診断環境

(診断対象のWebサービスのURL、アクセス権の付与等)  

◆サーバーのグローバルIP(※ネットワーク診断時)
お問い合わせはこちら
オフィスの会議テーブルを囲んで打ち合わせをしている4人のビジネスパーソン。ノートパソコンやタブレットを使いながら、メモを取ったり意見交換をしている様子。
Web・モバイルアプリケーション診断項目一覧  
診断項目一覧
SQLインジェクションXSS(クロスサイトスクリプティング)
XXEインジェクションCSRF(クロスサイトリクエストフォージェリ)
RCE(リモートコード実行)オープンリダイレクト
SSRF(サーバーサイドリクエストフォージェリ)Clickjacking
ディレクトリトラバーサルCSVインジェクション
ファイルインクルージョンInsecure Deserialization
SSTI(サーバーサイドテンプレートインジェクション)レースコンディション
ファイルアップロードの不備プロトタイプ汚染攻撃
Insecure direct object references (IDOR)HTTPリクエストスマグリング
OSコマンドインジェクション脆弱なパスワードポリシー
HTTPヘッダインジェクションパスワードリセット機能の不備
メールヘッダインジェクション認証要素(ログインなど)の回避
OAuth2.0における設定不備バッファオーバーフロー
アカウントロック機能の不備APIの権限不備
ログアウト機能の不備Cookieの属性不備
既知のソフトウェアの脆弱性(CVE)セッションの有効期限
ビジネスロジックの不備CORSの設定不備
Webキャッシュポイズニングディレクトリリスティング
CRLFインジェクションソースコードの漏洩
サブディレクトリの設定不備JWTにおける認証不備
LDAPインジェクションNoSQLインジェクション

Network diagnostics

ネットワーク診断

Network Assessment (Platform Assessment)

ネットワーク診断

Webサーバーやネットワーク機器等に潜む脆弱性を可視化します。

インターネットに公開されているサーバーや診断対象ネットワークに存在するネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、ツールと手動診断(ブラックボックスの手法)にて診断します。

・クラウドサービスのサーバー

・オンプレミスのサーバー

・IoTデバイス




お問い合わせはこちら
オフィスの会議テーブルを囲んで打ち合わせをしている4人のビジネスパーソン。ノートパソコンやタブレットを使いながら、メモを取ったり意見交換をしている様子。

診断イメージ

診断イメージ
Diagnostic Workflow

診断フロー

  • 耳と音波を表す青いアイコン。

    O1 | ネットワーク構成をヒアリング

    ネットワークの全体像を理解し、診断対象範囲をご決定頂いた上で必要な工数を算出します。併せて、サーバー数を基にお見積りします。
  • 耳と音波を表す青いアイコン。

    O2 | ツールおよび手動での
    ネットワーク診断 

    ツールを使用し、既知の脆弱性の確認や設定不備、単純なセキュリティ対策の漏れ等を検出します。また、ツールでは検出できない脆弱性に関しては診断員の手動診断にて調査します。
  • 耳と音波を表す青いアイコン。

    O3 | 診断報告レポート提出

    全体及び各脆弱性についてリスク評価し、発見した脆弱性の詳細をご報告します。また、それらによるリスクや推奨する対策方法についてもご説明します。 ※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。

 
 診断項目 
ホストのスキャン 
ポートスキャン  
 TCP全ポートに対するポートスキャンにより、ホストの応答を確認します。
実行中のサービスの検出 
・バナー情報などからソフトウェアバージョンを検知します。
・バージョンに存在する脆弱性を調査します。  
SSL/TLSの脆弱性 
SSL/TLSプロトコルの調査 
検出された全てのソフトウェアにおいて、脆弱性が存在する SSL / TLS プロトコルをサポートしていないか診断します。 
SSL/TLS暗号スイートの調査
 検出された全てのソフトウェアにおいて、強度等に問題のある暗号化方式のサポートを確認します。 
ネットワークサービスの脆弱性 
DNSに関する調査
 ・再帰問い合わせの可否を確認します。
・DNSゾーン転送の可否を確認します。 
メールサーバに関する調査
 ・メールサーバでの第三者中継の可否を確認します。
・VRFYコマンド、EXPNコマンドの可否を確認します。  
FTPに関する調査
 Anonymousユーザの許可・権限を確認します。
Windowsネットワークサービスに関する調査
 ・インターネット経由でのアクセス可否を確認します。
・システム・ユーザ情報の取得可否を確認します。
・バナー情報などからソフトウェアバージョンを検知します。
SNMPに関する調査
 ・SNMPによるシステム情報の取得可否を確認します。
・デフォルトコミュニティ名(public,private)による接続可否を確認します。 
SSHサーバに関する調査
 パスワード認証が許可されていないか確認します。 
データベースサーバに関する調査
 インターネット経由でのアクセス可否を確認します。 
認証に関わる脆弱性   
認証情報の平文での送信に関する調査
 検出された機器、およびソフトウェアにおいて認証情報が平文で送信されていないかを確認します。
SSL/TLSの脆弱性  
Windowsの既知の脆弱性
 バージョン・得られたシステム情報より、未適用パッチを特定します。
その他各種OSの既知の脆弱性
 バージョン情報より既知の脆弱性を特定します。
悪意あるソフトウェア   
バックドアの調査
 バックドアの可能性が高い、非標準ポートで動作しているサービスを確認します。 
その他各種OSの既知の脆弱性
 P2Pソフトウェアが動作していないか確認します。
ネットワーク機器の脆弱性  
各種ネットワーク機器の既知の脆弱性
 機器が特定できた場合、既知の脆弱性を確認します。

Penetration Testing

ペネトレーションテスト
Features

SynXの特徴

  • 耳と音波を表す青いアイコン。

    部門長との面談にて、
    身に付けたいスキルや希望のキャリアをヒアリング

    「技術力ではなく経験年数だけで評価される」「年功序列でキャリアアップできない」「どうしたら市場価値をあげられるかわからない」など、現在抱える不安も気軽に相談してください!
  • 人のシルエットとチェックマークがある青いアイコン。

    理想のキャリアビジョン
    実現に最適な案件に
    アサイン

    設計や要件定義へのステップアップやPL/PMへのキャリアアップなどを最短で叶えられるよう、サポートしていきます。
  • 本を表す青いシンプルなアイコン。

    現場に入る前の
    準備期間あり

    新しいプロジェクトに入る際には、必要な知識を効率的に学べるよう2週間程度の研修期間をご用意しています。心して現場に入れるだけでなく、何年目であっても新しい技術へ前向きにチャレンジをすることができます。
  • 三つの星が描かれた青いアイコン。

    最先端技術に長けた
    メンバーが多い

    当社は、アジアやイギリスなど多国籍な社員が在籍するグローバルな組織。「海外にはこんな技術がある」とか「最近リリースしたソフトウェアがすごい」など国内の情報だけでは拾いきれない情報も得ることができます。
  • 上昇傾向を示す青い矢印のアイコン。

    技術やマネジメントを
    学ぶ環境が充実

    スキルアップの研修や資格取得に向けての補助、手当の制度もしっかり整っています。

IoT Diagnosis

IoT診断
Vulnerability Assessment for IoT Devices

IoTデバイスへの脆弱性診

ファームウェア解析(ソフトウェア解析)

ファームウェア(ソフトウェア)を逆アセンブリし、処理フローの解析などを行い、脆弱性の有無を評価します。


動的解析


通信経路のパケット傍受・改変やインタフェーステストを行い、サーバーサイドの脆弱性やBluetoothなどの通信規格の脆弱性を評価します。

お問い合わせはこちら
オフィスの会議テーブルを囲んで打ち合わせをしている4人のビジネスパーソン。ノートパソコンやタブレットを使いながら、メモを取ったり意見交換をしている様子。

Smart Contract Diagnostics

スマートコントラクト診断
Security Vulnerability Assessment for NFT Applications and Smart Contracts

NFTアプリ・スマートコントラクトへの脆弱性診断

スマートコントラクト自体の脆弱性

ブロックチェーン上(オンチェーン)で実行されるスマートコントラクトに対する脆弱性診断です。SWC Registryなどの基準に応じてソースコードから診断します。診断環境にて実際の疑似攻撃まで実行することも可能です。

アプリケーション診断


オフチェーンのアプリケーション本体に対する脆弱性診断です。各NFTゲームやNFTアプリケーションの特性に合わせて、アイテムの購入やガチャ、データベースの更新などの機能において、サーバーサイドの脆弱性が存在するかどうかを診断します。

お問い合わせはこちら
オフィスの会議テーブルを囲んで打ち合わせをしている4人のビジネスパーソン。ノートパソコンやタブレットを使いながら、メモを取ったり意見交換をしている様子。
Smart Contract Assessment Items

スマートコントラクト診断項目(一部抜粋)

弊社のスマートコントラクト脆弱性診断の項目は、スマートコントラクトの脆弱性やセキュリティ上の問題を分類・識別するためのリファレンスリストである、SWC Registry(Smart Contract Weakness Classification Registry)の基準に準拠しています。また、弊社の独自の観点・視点からも脆弱性診断を実施します。 参照:https://swcregistry.io/ 

•Re-Entrancy(リエントランシー)攻撃
スマートコントラクトが外部のスマートコントラクトを呼び出す際に、メモリの状態とプロセスを一時停止する仕様とfallback関数の呼び出しの仕組みを組み合わせた攻撃。Etherの無限引き出しに繋がる影響度の高い脆弱性。

•DoS with Failed Call 
外部コントラクトを呼び出す際の例外処理が存在しないことなどに起因する、外部呼び出しのコントラクトを意図的に失敗させて無限ループを起こしDoS攻撃を引き起こす脆弱性。 

•Integer Overflow and Underflow 
バージョンの古いSolidityなどを使用することで発生する、数値のオーバーフローやアンダーフローに関する脆弱性。

•Self Destruct 
selfdestructメソッドを実行することによって、コントラクトが所持している全Etherを送信し、requireやassertなどのGuard句を回避する脆弱性。


Scope of Vulnerability Assessment

脆弱性診断の対象

Other services

他のサービス