【プレスリリース】短期間・低コストでビジネスリスクの高い脆弱性を集中的に探索　セキュリティ診断「リスクフォーカス型プラン」を提供開始

プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開する株式会社Flatt Security（代表取締役社長：井手康貴　以下、Flatt Security）は、「セキュリティ診断」（脆弱性診断）の新プランとして、短期間・低コストでビジネスリスクの高い脆弱性を集中的に探索可能な「リスクフォーカス型プラン」を本日2023年4月18日（火）より提供開始いたします。

　「リスクフォーカス型プラン」では、セキュリティエンジニアが診断対象プロダクトの仕様を鑑み、深刻度の高い脆弱性が存在すると推測される箇所から優先づけを行い、診断を実施します。一般的な網羅型のセキュリティ診断と異なり、診断項目の網羅性はありませんが、ビジネスリスクの高い脆弱性をより低コストかつ集中的に探索することができます。

また、AWS・GCP・Azure診断やWebアプリケーション診断をはじめとする様々な診断メニューと組み合わせることにより、大規模・複雑なプロダクトを対象としたセキュリティ診断を、これまで以上に短期間かつ低コストで実施できるようになります。

提供開始の背景

SaaSをはじめとするWebサービスを対象としてセキュリティ診断を実施する際、事前に診断対象と診断期間の調整が必要です。サービスに含まれる全ての機能を診断対象とすることが最も望ましいですが、実現するには多くのコストと期間がかかってしまいます。

これまで、セキュリティ診断においては決められたコストの範囲内で診断対象を絞り込む場合、診断対象となる機能を絞り込む「スコープ」を行い、診断対象のセキュリティリスクを網羅的に調査・検証していくのが一般的でした。

一般的な網羅型診断における診断範囲

この手法では、診断対象となる機能に対して網羅的に診断項目を検証するため、ビジネス上は優先度の低い脆弱性の調査にも工数が割かれてしまうケースもありました。また、スコープを行うために見積開始から発注までの時間的コストや工数がかかってしまう、診断対象となる機能が、本来診断範囲とすべき対象から狭くスコープされてしまうといった課題もありました。

このような課題を解決するために、事前に診断対象のスコープをせず、調査・検証の動きに自由度を与える診断手法が「リスクフォーカス型プラン」です。限られた期間内に、網羅的ではなく、探索的な調査を行うことで、これまで以上に短期間・低コストでビジネスリスクの高い脆弱性を集中的に調査・検証することが可能です。

リスクフォーカス型プランの診断範囲

リスクフォーカス型プランの特徴

【短期間・低コストでの診断実施が可能】

一般的な網羅型の診断と比べて、短期間・低コストでの診断実施が可能です。例えば、250APIのプロダクトを対象に診断を実施する場合、スコープを実施しない一般的な網羅診断と比較して見積期間が75％短縮できるのに加え、費用は50％低減することができます。

また、診断実施期間は最短2週間から調整可能です。短期間でネクストアクションの策定をしたい場合や大規模な診断をコストパフォーマンス良く実施したい場合などに最適のプランです。

【ビジネスリスクの高い脆弱性を集中的に探索可能】

経験豊富で高い技術力を有したセキュリティエンジニアが手動で診断を実施します。本プランでは、診断対象プロダクトの仕様を鑑み、深刻度の高い脆弱性が存在すると推測される箇所から優先づけを行います。一般的な網羅型診断と異なり、事前にスコープを設けないため、検出結果に応じて診断方針を柔軟に再設計し続けることが可能です。検証範囲や検証内容に関する具体的なログは残りませんが、ビジネスリスクの高い脆弱性を集中的に探索することができます。

【必要に応じてホワイトボックス形式での診断も実施】

本プランでは、セキュリティエンジニアが開発組織外部の立場から擬似攻撃を行うことにより脆弱性調査を行う「ブラックボックス形式」の診断に加え、必要に応じて、ソースコードを調査・検証することで脆弱性のチェックを行う「ホワイトボックス形式」の診断を実施します。

【多様な診断メニューと組み合わせ可能】

技術スタックに応じて、様々な診断メニューと組み合わせることが可能です。診断メニューを複数組み合わせて実施することもできます。

＜Flatt Securityが提供する診断メニュー＞ ・AWS・GCP・Azure診断 ・Firebase診断 ・GraphQL診断 ・SPA診断 ・Webアプリケーション診断

先行事例

今回の正式提供開始に先立ち、以下の企業様にリスクフォーカス型プランの先行利用をいただきました。診断の経緯や概要についてのインタビュー記事を公開しておりますので、以下URLよりご参照ください。

【株式会社SmartHR】

・インタビュー記事：https://flatt.tech/assessment/voice/smarthr

＜実施内容＞ ・「SmartHR」を対象としたWebアプリケーション診断＋GCP診断

【Ubie株式会社】

・インタビュー記事：https://flatt.tech/assessment/voice/ubie

　＜実施内容＞ ・生活者向け症状検索エンジン「ユビー」を対象としたFirebase診断＋ホワイトボックス診断 ・医療機関向け診療支援サービス「ユビーメディカルナビ」を対象としたWebアプリケーション診断

【株式会社ワンキャリア】

・インタビュー記事：https://flatt.tech/assessment/voice/onecareer

＜実施内容＞ ・就活サイト「ONE CAREER」、企業人事向けサービス「ワンキャリアクラウド」、転職サイト「ONE CAREER PLUS」を対象としたWebアプリケーション診断

株式会社Flatt Securityについて

Flatt Securityは2019年のセキュリティ事業開始以来、「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」をコーポレートキャッチとして、Webプロダクト開発組織に向けた各種セキュリティ事業を展開しています。

●セキュリティプロダクト事業：セキュリティ対策の自動化を促進するソリューション ・AWS、GCP、GitHub等を起点としてソフトウェアサプライチェーンを守るセキュリティSaaS「Shisho Cloud」

●プロフェッショナルサービス事業：高度な技術力を有する専門家によるセキュリティ支援 ・開発者に寄り添ったセキュリティエンジニアによる脆弱性調査・分析サービス「セキュリティ診断」 ・クラウド型セキュアコーディング学習プラットフォーム「KENRO」

報道関係お問い合わせ先

株式会社Flatt Security 広報 E-mail:pr＠flatt.tech