概要
企業で利用するアプリケーションを自社開発する場合でも、サードパーティから購入する場合でも、たった1つのコーディングエラーがシステムを攻撃にさらす脆弱性となる恐れがあります。そしてそれが企業の財務や評判に大きな損害をもたらすかもしれません。新しい脆弱性は、新たな攻撃方法によって発生する場合もあれば、アプリケーションのライフサイクル内で、ソフトウェアのアップデートや安全でないコンポーネントの設定によって発生する場合もあります。
ブラックボックステスト
アプリケーションの内部構造や動作などの事前情報を使用せず実際の攻撃者の攻撃をエミュレート
グレーボックステスト
正当なユーザーのプロファイルでのエミュレート
ホワイトボックステスト
ソースコードを含む、アプリケーションへのフルアクセスでの分析
アプリケーションのファイアウォールの有効性の評価
ファイアウォールが有効・無効の状態でテストし、潜在的な攻撃がブロックされているかどうかを検証
導入事例
カスペルスキーのセキュリティソリューションの導入事例
Merkeleon
Solutions:
2009 年以降、Merkeleon は、市場、オンラインオークション、暗号通貨の取引のための革新的なプラットフォームを開発してきました。カスペルスキーと共に、同社は暗号開発の専門知識とサイバー脅威およびセキュリティアルゴリズムに関する深い知識との間で大きな相乗効果を生み出しました。
国際チェス連盟
ソリューション:
国際チェス連盟とKaspersky Labは2017年2月にサイバーセキュリティのパートナーシップの締結を発表し、2017年、2018年に世界チェス選手権を開催しました。
ビジネス上のメリット
Kaspersky Application Security Assessmentは、以下のメリットを提供します。
- アプリケーションに対する攻撃に使用される脆弱性を事前に検知して修正することで、財務的な損失、ビジネスの損失、企業の評判の低下を防止
- アプリケーションの脆弱性を開発・テスト段階で追跡することで、修正コストを削減(脆弱性がユーザー環境に持ち越された場合には、その修正には大きな混乱が伴い、多額の費用が発生)
- 安全なソフトウェア開発ライフサイクルをサポート
- GDPRやPCI DSSなど、政府、業界、企業における基準への準拠
以下のような脆弱性を特定します。
- 多要素認証を含む認証と承認に関する欠陥
- コードインジェクション(SQLインジェクション、OSのコマンド実行など)
- 使用されている暗号の弱さ
- 論理的な脆弱性によって、不正使用される恐れの発見
- クライアント側の脆弱性(例:クロスサイトスクリプティング、クロスサイトリクエストフォージェリなど)
- 安全でないデータストレージや転送(例:支払いシステムでのPANのマスキングが不十分など)
- 機密情報の漏洩
- その他のWebアプリケーションの脆弱性
以下は、最終レポートで詳述される結果の例です。
- 評価プロセスに関する詳細な技術情報
- 発見された脆弱性とその修正のための推奨事項
- 経営への影響をまとめたエグゼクティブサマリー
- 国際標準とベストプラクティスの遵守の検証
- 必要に応じて、技術チームまたはトップ経営陣向けのビデオとプレゼンテーションを提供
True Cybersecurityを企業のセキュリティ戦略に役立てる方法について、当社のエキスパートにお問い合わせください。
[*]印の付いているドキュメントおよびビデオは、英語です。