ソフトウェアにおけるセキュリティ上の問題点は、大別すると実装上の問題、設計上の問題、構成上の問題の3つに分けられます。実装上の問題はいわゆる脆弱性であり、静的解析ツールや脆弱性スキャンで発見できます。設計上の問題の検出には、脅威モデリングなどの取り組みが効果的です。構成上の問題で有名なものとしては、クラウドにおけるアクセス権設定のミスによる情報漏洩があげられるでしょう。こういった構成上の問題の発見には、脅威モデリングも静的解析も役位たちません。実際にデプロイされた環境でのペネトレーション・テストが唯一の解となります。
ペネトレーション・テストは、ただ単に構成上の問題を発見するためだけではありません。リスクが低いとして受容した設計上の、あるいは実装上の問題が、本当に低リスクなのかどうか、それらを組み合わせてセキュリティ侵害を引き起こすことがないのかどうかをチェックするためにも有用です。
一方、ペネトレーション・テストを実施するためには、広範なセキュリティに関する知識と攻撃者のように考えるマインドセットが必要となり、対応できるリソースが限られているのが現状です。
シノプシスでは、マネージド・テスト・サービスのメニューとしてペネトレーション・テストを提供しており、多くのホワイトハッカーを活用してお客様のWebアプリケーションやモバイル・アプリケーションのセキュリティ強化をご支援しています。
本Webinarでは、ペネトレーション・テスト・ベンダーの選び方と、シノプシスが提供するペネトレーション・テスト・サービスをご紹介いたします。
主な内容
- SDLCにおけるセキュリティ診断/テスト
- ペネトレーション・テストの選び方
- シノプシスのサービス