HITSERIES×ImmuniWeb
HITSERIESではCICD/SREにImmuniWebを組み込んでいます。
ImmuniWeb®︎
ImmuniWeb (イミュニウェブ)は、2007 年にスイスで創業されたアプリケーションセキュリティテストのAIクラウドプラットフォームです。従来1ヶ月かかっていたWEBサイトの脆弱性診断を3日間で安価で完了させるAIとRPAを強みとしています。米国、EU、日本を含む36カ国のコンプライアンスに準拠しています。Tanaakk株式会社は東アジア、日本地域におけるImmuniWeb公式パートナーです。
HITSERIES×ImmuniWeb
重要インフラ産業(銀行、自動車、製造工場)におけるクラウドセキュリティ要求に対応するため、HITSERIES CICD/SREにImmuniWebを組み込み
導入前の課題(Before)
ーセキュリティベンダーに脆弱性診断やセキュリティ評価を見積依頼すると、見積もりからプロジェクト開始まで数ヶ月かかり、費用も高額であり事業成長のボトルネックになっていた。
ー既存事業とは守るべき法令対象や個人情報の対象が違う中で、契約上顧客や事業パートナーとどこまでの責任分担をすべきかが不明瞭であった。
ー新規事業でベンダーに言われるがままセキュリティ投資をしているとコストばかりが増えてしまうことに課題があった。場当たり的な対応ではなく、計画的なガイドラインや調達方針をもつ必要があった
導入後の成果(After)
ガイドラインや組織を整備し、計画的なセキュリティ調達が可能に。基本的な防御は24時間モニタリング。定期的な検査のスピードも数週間で済むように。脆弱性診断関連コストは3分の1に。
クラウドセキュリティベストプラクティス
1.ガイドラインの制定
事業の安全性を目的としてISO27001を導入
2.サイバー関連法令の調査および契約責任分解範囲の整理
法律専門家による裁判判例や個人情報保護法令の見解提示。クラウドベンダーや販売代理店、法人顧客、最終消費者間のデータ保持に関する責任分解点の体系化
3.基礎的な防御インフラを実装
デプロイルームをセキュリティルーム化。Microsoft EntraID(旧ActiveDirectory)による権限レイヤーの体系化、Microsoft Intuneによる開発端末の管理。Microsoft Defenderによる防御、Microsoft Sentinelによる脅威分析。
4.定期診断の実施
ImmuniWebによる年に1回の定期診断を実施。目的に応じてNessusやBurpSuiteなども利用
ImmuniWeb®︎Discovery
ImmuniWeb®︎Discovery(イミュニウェブディスカバリ)は企業名をキーワードとし、インターネットから250種類以上のデジタルアセットを発見し、24時間モニタリングするサービスです。1000種類のコンプライアンス・セキュリティ設定チェックと、750種類のパラメータによるリスク評価、2500種類のダークウェブやディープウェブチャンネルからの情報収集により、企業のセキュリティリスク評価を容易にします。
LINK
ImmuniWeb®︎On-Demand
ImmuniWeb®︎On-Demand(イミュニウェブオンデマンド)はWordpressサイト、上場企業グループコーポレートサイト、Eコマースサイト、ソーシャルメディア、受発注業務システム、ネットバンキング、マッチングプラットフォーム、仮想通貨取引所などのWEBアプリケーションを最大195台のAI学習済みサーバで並列処理し、従来1ヶ月以上必要とされていた脆弱性診断を2−5営業日で完了させるサービスです。
LINK
ImmuniWeb®︎MobileSuite
ImmuniWeb®︎MobileSuite(イミュニウェブモバイルスイート)はiOSアプリやAndroidアプリの脆弱性をAI学習済みのプラットフォームで自動検査することで、従来1ヶ月以上必要とされていた脆弱性診断を2−5営業日で完了させるサービスです。ニュースメディア、ネットバンク、マッチングプラットフォーム、仮想通貨取引所などのアプリで実績があります。フロントエンドアプリと、バックエンドWEBアプリ、API、SSL、WEBサーバ、DBサーバの複合テスト(SAST、DAST、IAST、SCA)を短期間で完了させます。
LINK
ImmuniWeb®︎Continuous
ImmuniWeb®︎Continuous(イミュニウェブコンテニュアス)はWEBアプリケーションの開発組み込みを目的とした継続的セキュリティ検査クラウドです。オンデマンドと同性能の機能で24時間モニタリングできるため、開発工程におけるセキュリティ検査への組み込み(DevSecOpsやCI/CD)に適しています。発見された脆弱性はF5,Imperva,Barracuda,Fortinet,QualysなどのWAFと連携することが可能です。開発ツールとの連携に関してはJira、HP ALM、Splunk、Github、Servicenowなどの連携が可能です。
LINK
ImmuniWeb検査実績
ImmuniWeb(イミュニウェブ)は2019年2月の国内学習塾のWEBサイトでの初検査から、日本において600社を超える企業のアプリケーションセキュリティテストを効率化してきました。
ImmuniWeb国内検査実績
2019年 28件
2020年 127件
2021年 154件
2022年 241件
ImmuniWeb顧客業界
官公庁、独立行政法人
クレジットカード、地方銀行、保険
SaaSサービス、Eコマース、ネット書店
自動車、製造、建設
電力、ガス、水道、石油
農業機械
ヘルスケア
小売、旅行
教育、学習塾
メディア、印刷、広告
ImmuniWeb®︎AI Platform
膨大な作業工程をAIで代替
ImmuniWeb(イミュニウェブ)は脆弱性診断における作業を①ソフトウェア、②AI、③専門家作業の3つに分類し、これまで脆弱性診断において人間が行ってきた作業の90%をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。
脆弱性報告規格に準拠
国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しています。
全世界60カ国の顧客基盤
2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、全世界60カ国に顧客を有しています。
国際的な受賞歴
2017 年には米 Gartner 社より Cool Vendor 選出。2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞。米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。
各国法令に準拠
EU GDPR、米HIPAA、NIST SP800、PCI DSS、FTCA,GLBA,FCRA/FACTA,NewyorkSHIELD、NYDFS、CaliforniaCCPA,CPRA,Singapore PDPA,Singapore MAS, Hongkong PDPO, Brazil LGPD, India IT Act, South AfricaPOPIAなど
日本における受賞歴
日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞。
CREST及びISMS準拠
ImmuniWebは国際的に最も厳しい規格の一つであると言われる英国CRESTに準拠した企業です。
専門家とAIの分業モデル
ImmuniWeb(イミュニウェブ)は脆弱性診断における作業を①ソフトウェア②AI機械学習③専門家作業の3つに分類し、これまで脆弱性診断において人間が行ってきた作業の90%をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しており、2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、60カ国に顧客を有します。2017 年には米 Gartner 社より Cool Vendor 選出、2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞、米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞しています。
ImmuniWeb SAは、2007 年にセキュリティエンジニアである Ilia Kolochenko 氏により創業されて以来、ヒューマンインテリジェンス(HI)とアーティフィシャルインテリジェンス(AI)の新たな分業モデルの定義に挑戦しています。
安全・安価・素早い検査でDevSecOpsを実現
ImmuniWebは2007年にスイスで創業されて以来、クレディアグリゴルのような大手銀行の社内アプリケーションやインターネットバンキングアプリで高いセキュリティが求められる環境で脆弱性診断プラットフォームおよび業務プロセスを自動化してきました。ImmuniWebの分散型プラットフォームは、『どうすればebay(イーベイ)のような商品点数が1億点以上存在するEコマースアプリケーションの膨大な脆弱性診断対象ページと診断項目を与えられた制限日数内で評価できるのか?』という難題から生まれています。
日本国内においては日英バイリンガルのプロジェクトマネージャーを中心として、弁護士監修の元、安全・安価で素早い作業を提供しています。
ImmuniWeb®︎データ収集
ImmuniWeb®︎(イミュニウェブ)は2007年からのセキュリティ検査実績をもとに2018年よりオンラインでのセキュリティ検査プラットフォームをインターネット上で無料公開し機械学習によるAIアルゴリズムと診断ワークフローを発展させてきました。同時並行で350件/秒、1日あたり10万件、通算186,253,448件のテストを実施し、AIによるデータ学習をすることで、脆弱性診断に関わるほとんどの工程を自動化し、競合製品よりも3倍はやく、3倍やすく、高品質なテストを実施することが可能となっています。(2021年7月末時点)
4つのFreeAssesmentPlatform
『SSL Security Test』(WEBサイトSSL設定テスト)
『Website Security Test』(WEBサーバ・ヘッダーセキュリティテスト)
『Darkweb Exposure Test』(ダークウェブ・フィッシングサイトテスト)
『Mobile App Security Test 』(モバイルフロントエンドOWASP TOP10テスト)
Website Security Test
- Website CMS Security
- WordPress & Drupal
- CSP & HTTP Headers
- GDPR & PCI DSS
WEBサイト
1日33,441URL
通算65,236,607URL
検査学習済
SSL Security Test
- Web Server SSL
- Email Server SSL
- SSL Certificate
- PCI DSS, HIPAA & NIST
WEBサイトSSL設定
1日62,763URL
通算89,268,163URL
検査学習済
Mobile App Security Test
- OWASP Mobile Top 10
- 静的・動的スキャン
- プライバシー取得機能
- iOS or Android
iOS/Androidアプリ
1日544アプリ
通算747,805アプリ
検査学習済
Dark Web Exposure and Phishing Detection Test
- フィッシングサイト
- ドメイン転売防止
- ダークウェブ漏洩
- トレードマーク不正利用
ドメイン不正利用調査
1日3,776URL
通算29,191,940URL
検査学習済
AIセキュリティ検査の流れ
アプリケーションビジネスを推進する上でセキュリティ体制構築と定期的な検査の標準的な流れです。
1
セキュリティ基本計画の策定
情報システム予算(金融を除く業界平均年商比率1.5%)と言われる中でセキュリティ予算は情報システム予算の10%がベンチマークとされています。
2
セキュリティ体制の運用
ISO27001(情報セキュリティマネジメントシステム)Pマーク、NIST CSFやそれに準ずるITガバナンス体制の運用。
3
セキュリティ検査計画の策定
情報資産リストから検査対象アプリケーションやネットワークを規定します。重要システムであれば四半期に1回、WEBサイトでは年1回の検査が推奨されています。
4
事前準備シートに沿った検査環境準備
年次検査を実施します。Tanaakkでは確認項目の多いセキュリティ検査について事前準備シートを用意し、プロジェクトマネージャによる確認を行います。
5
セキュリティ検査実施
ImmuniWebによる検査を実施。ImmuniWebが使用できないような制限されたネットワーク内の検査については手動で各種ツールを用いた検査を実施します。
6
報告書提出
発見された脆弱性について、国際基準に則った報告を実施します。(CVE,CWE,CVSSなど)
7
報告会の開催
セキュリティエンジニアが報告会を実施。アプリケーションの修正方法についてのアドバイスを提供します。
8
脆弱性の修正
発見された脆弱性について、コーディング修正やプロセス改善による改善を実施します。
9
再診断
脆弱性を修正した後は再診断を実施します。重大な脆弱性について修正が完了次第検査プロジェクトの完了となります。
セキュリティ診断の分類
セキュリティ診断には大きく分けてモバイルアプリケーション、WEBアプリケーション、プラットフォーム、ITインフラストラクチャの4種類の脆弱性診断に分類できます。企業のデジタルリスクのストレステストとして、TLPT(脅威ベースのペネトレーションテスト)を実施する場合には以下4種類の診断範囲やメールサーバなど診断対象が複合します。
サイバーセキュリティガバナンスの実現
企業規模に応じたサーバーセキュリティストラクチャを提供。企業経営のリスクとリターンの観点からセキュリティを捉え直し、全社セキュリティガイドラインの策定やISO27001との連携、サイバー保険による保全やセキュア開発の導入など、AIセキュリティ検査に止まらない包括的なコンサルティングを提供しています。
ペネトレーションテスト|市場規模と成長性
世界のペネトレーションテストの市場規模は2021年の16億米ドルから、2026年には30億米ドルの規模に成長すると予測されています。(CAGR 13.8% MarketsandMarkets調べ)
・定期的なテストの実施を義務付ける厳格な規制
・コンプライアンスの増加
・サイバー攻撃による企業の財務的損失や風評被害の増加
・インターネットの普及率の増加
・スマートフォンの使用率の増加
PTaaS(Penetration Testing-as-a-Service)
PTaaS(Penetration Testing-as-a-Service)はAIプラットフォームを中心とし、従来のペネトレーションテストモデルに、ワークフローを効率化するコラボレーション技術が加えられています。PTaaSの用途別では、ウェブアプリケーションの部門が期間中最大のシェアを示すと予測されています。
ImmuniWeb日本進出の歴史
2018年9月コンタクト開始
台湾最大のホワイトハッカーコミュニティ運営者からの紹介でImmuniWebとTanaakkのコンタクト開始。
2018年12月ImmuniWeb訪問(スイス・ジュネーヴ)
Tanaakk株式会社代表取締役田中翔一朗が2018年12月にスイスジュネーヴに訪問。ImmuniWeb SAのCEOイリヤ、COOエカテリーナに対して日本市場の開拓方法について進言。
2019年2月ImmuniWeb日本進出契約締結(プラチナパートナー)
ImmuniWeb SAが国内大手セキュリティ企業数社との提携検討のうえ、初期の販売代理店として株式会社CELを選定(2018年9月から2021年6月まで株式会社CEL代表取締役田中翔一朗)
2019年4月ImmuniWeb国内公式発売開始
ImmuniWeb国内1号顧客は名古屋の学習塾でした。2年間で35社の販売代理店と300社の顧客を獲得。
2020年11月アジア成長率No.1の評価獲得
公式販売開始から1年半で米 EnterpriseSecurity 誌の調査により、アジア太平洋地域におけるセキュリティコンサルティング企業顧客数成長 率 No.1 を受賞。
2021年12月経産省SSSに台帳登録
経済産業省 情報セキュリティサービス基準に登録
2022年6月イギリス調査会社より受賞
イギリスの調査会社よりGlobal Best Cyber Security Model Awardを受賞
2022年6月ISO27001を日本国内で取得
スイスで取得していたISO27001を国内でも取得。国内サイバー保険にも加入。
