TEPCO

SERVICE 機械学習・AI脆弱性診断サービス

商品・サービス

機械学習・AI脆弱性診断サービス

Webアプリケーションの脆弱性を突いた攻撃が年々増加しています。また新たなサイバー攻撃手法も増え、経時的に劣化するソフトウェアへの攻撃やサプライチェーン攻撃なども発生しております。外に公開されたWebシステムなどは特に標的となりやすいので、AIを活用して国・機関が提供するガイドラインを網羅したWebアプリケーションの脆弱診断を実施します。

Immuni Webを活用した「機械学習・AIセキュリティ検査サービス」は、CYBERGYM JAPANのサービスです。
弊社は本サービスの販売代理店です。

お問い合わせ

サービス概要

診断対象サイト全ページを均等に全てのエクスプロイコードで検証します。250台のマシンによる分散診断をAI(Immuniweb AI Platform)のアルゴリズムで実現し、さらに重要なものについてはエンジニアのサポートにより誤作動、誤検知を防ぎます。また常に最新のガイドラインや攻撃コードをAIが機械学習しています。

サービスの特長

  • 人(エンジニア)の能力だけでは、日々更新される最新の攻撃手法やガイドライン(セキュリティに関する各機関のガイドライン)の最新版に常に準拠することは困難です。よってAIを活用することにより圧倒的に優れたコストパフォーマンスを実現いたします。

  • Webアプリケーションだけでなく、Webサーバ&SSLまで一括診断を実施します。AI脆弱性診断は付属診断としてWebサーバも一括で診断。さらにSSL診断・トレードマーク不正使用診断も付属診断として診断結果をご提供します。

  • 最新の情報で素早く診断、素早く改修することが脆弱性診断では重要となります。原則診断開始から3週間程度の期間で報告書を提出することが可能です。

利用シーン

  1. Webアプリケーション開発の際に脆弱性診断を実施し、セキュリティの確保をする

    Webシステムの開発時には、機能・納期・性能などに注力されやすく、脆弱性に対してももっと注力していく必要があります。システムをユーザに公開する前に脆弱性診断を実施し、リリース時点の最低限の安全性を確保することが利用者への責務となります。

  2. Webアプリケーションの運用が開始され、定期的に脆弱性診断を実施し、セキュリティを確保する

    システムが公開された当初は脆弱性がほとんど見当たらない状況であったが、時が経つにつれ新しい脆弱性が発見され、製品コンポーネントに影響を及ぼすようになります。よって、定期的に各機関が提供するセキュリティガイドラインに準拠した形で脆弱性診断を実施します。

このようなお悩みをお持ちの方におすすめです

  • 自社のサービスサイトやコーポレートサイトなどWebアプリケーションを随分前に構築し、リリース時は脆弱性はほとんどなかったがメンテナンスに不安があり最新の情報で診断をされたい方。
  • 昨今はビジネス活動の流れ(サプライチェーン)の途中を攻撃し、そこから最終的なターゲットを攻撃してきます。顧客やビジネスパートナー(仕入先など)に影響を及ぼしかねないので、対策を検討されている方。

導入効果

  1. 診断後、脆弱性が発見されたら対処方法をご提案いたします

    発見された脆弱性にランクをつけ、根拠と修正方法などを報告書に記載いたします。検査として代表的なOWASP Top10やCWE/SANS Top25などの項目を検査し、またNISTやPCI DSS、GDPRなどのガイドラインに準拠した脆弱性診断を実施することで、システムの脆弱性を知り、対処することができます。

  2. サイバーリスク保険が適用されます

    Immuniweb AI Platform診断対象Webサイト・モバイルアプリへのサイバー攻撃や同サイトからの情報漏洩に起因し、お客様企業が被る損害賠償金および各種費用を1企業1,000万円を上限に補償いたします。
    ※引受保険会社は東京海上日動火災保険株式会社となり、損害補償請求・損害賠償金の受け取りなどの手続きはお客様にて実施していただきます。また補償内容については変更もございますので別途ご確認願います。

よくあるご質問

サイトのURL(権限がある際には、ID/PASS)もしくは仕様書をご提供願います。

基本はリモートで作業します。ただしお客様の環境によりオンサイトでの診断を希望される際には別途ご調整させていただきます。

診断開始は16時となります。その後、診断期間中は24時間アクセスしております。除外してほしい時間帯がございましたら、事前にお知らせいただければ対処させていただきます。

サービスの内容

診断内容

  • テスト中、IPS、WAF、アプリケーションにテスト用IPアドレスのアクセス許可
  • 指定ドメインの全ページに対して、OWASP Top10, OWASP Mobile Top 10, CWE/SANS Top25, PCIDSS10 要件を含む148項目の侵入手法を検査、CVE、CWE、CVSSといった国際脆弱性規格に準じて報告書作成
  • SQLインジェクション検査に伴うメール送付の了承
  • OWASP IoT Top10診断にも対応
  • 診断後に報告書の提出

関連製品

関連カタログ ダウンロード

商品・サービス 一覧に戻る

  • お問い合わせ

    資料請求、見積依頼など、
    お気軽にお問い合わせください。

    お問い合わせ

  • 資料ダウンロード

    無料でダウンロード可能なお役立ち資料をご紹介いたします。
    ぜひ一度ご覧ください。

    資料ダウンロード