Secure Wayは、攻撃者視点に基づいたセキュリティサービスを提供しています。
コンサルティングから技術的な診断・検証、インシデント対応、人材育成まで、組織のセキュリティ課題を包括的に支援します。
組織のセキュリティ態勢を評価し、リスク分析に基づいた改善策を提案。現状の課題を明確化し、優先順位をつけた実行可能なロードマップを策定します。
ISMS(ISO27001)やPマーク等のセキュリティ認証取得を支援。適用範囲の定義から規程整備、内部監査、審査対応までトータルでサポートいたします。
開発プロセスにセキュリティを組み込むためのコンサルティング。セキュアコーディングガイドラインの策定やコードレビュー体制の構築を支援します。
EDR(Endpoint Detection and Response)製品の選定から導入、運用設計までを支援。組織の環境に適した製品選定と効果的な運用体制の構築をサポートいたします。
SIEM、WAF、IDS/IPSなどの多くのセキュリティ製品の導入を支援。製品選定のアドバイスから設定チューニング、運用フローの整備までサポートいたします。
Webサイトに対するセキュリティ診断。クロスサイトスクリプティングやSQLインジェクションなど、一般的なWeb脆弱性を網羅的に調査いたします。
Webアプリケーションおよび APIに対する詳細なセキュリティ診断。OWASP Top 10をはじめとした脆弱性を自動と手動で2重で調査を行い、ビジネスロジックの欠陥も含めて評価いたします。
社内ネットワーク環境のセキュリティ診断。ネットワーク機器、サーバー、エンドポイントの設定不備や既知の脆弱性を特定し、リスクを評価いたします。
AWS、Azure、GCP等のクラウド環境に対するセキュリティ診断。設定ミス、過剰な権限付与、公開設定の不備など、クラウド特有のリスクを調査いたします。
アプリケーションのソースコードを静的解析し、セキュリティ上の問題を検出。開発段階での脆弱性の早期発見と修正を支援します。
各種脆弱性診断で発見された脆弱性に対して、脆弱性の修正をサポートした上で脆弱性が修正されたかの検証まで行います。
Webアプリケーションに対する実践的な侵入テスト。攻撃者の視点で脆弱性を悪用し、実際に「どのように侵害され」「どのような被害が発生しうるか」までを検証。リスクの深刻度を具体的に評価いたします。
社内ネットワークに対する侵入テスト。初期侵入から権限昇格、横展開、機密情報へのアクセスまで、米国MITRE社のATT&CKに沿ったフレームワークを利用して実際の攻撃シナリオに基づいてセキュリティ態勢を評価いたします。
脅威情報やATT&CKを参考に、実際に発生し得るサイバー攻撃のプロセスを記したシナリオを作成した上で、企業や業界特有のリスクに対する防御が可能であるか評価を行います。
疑似的なサイバー攻撃を行い、社内の監視チームがサイバー攻撃を検知、実際に発生しているインシデントから素早い防御が可能であるか実際に検証を行い評価いたします。
セキュリティインシデント発生時のデジタルフォレンジック調査。侵害の痕跡を分析し、攻撃者の侵入経路、活動内容、被害範囲を迅速に特定します。
インシデント発生後のシステム復旧支援。被害の封じ込めから、安全な状態への復旧、再発防止策の策定・実装までを包括的にサポートいたします。
全従業員を対象としたセキュリティ基礎教育。最新の脅威動向や日常業務で気をつけるべきポイントをわかりやすく解説します。
標的型攻撃メール訓練やフィッシング対策訓練など、従業員のセキュリティ意識向上を目的とした実践的な訓練を実施いたします。
Capture The Flag形式のセキュリティ競技を企画・運営。実際の攻撃手法を体験しながら学べる、技術者向けのハンズオントレーニングを提供いたします。
インシデントが発生した際、各従業員が迅速に「検知」「対応」「復旧」のプロセスを実施するための訓練を提供いたします。
模擬インシデント対応やシステム堅牢化の演習を実施。実際の攻撃を受けながら業務システムを止めずに堅牢化を行う体験を通じて、より実践的な対応力を養成します。
公開された脆弱性(CVE)が自社環境に影響するかを検証。安全な環境でPoCを再現し、実際のリスクレベルと対策の優先度を評価いたします。
新たな攻撃手法の研究や、自社セキュリティ製品の有効性検証を支援。攻撃シミュレーション環境の構築や技術的な検証作業をサポートいたします。