脆弱性診断/ペネトレーションテスト
Vulnerability Assessment / Penetration Testing

リチェルカセキュリティの脆弱性診断/ペネトレーションテストは、ハッカーと同じ目線で擬似攻撃を実施し、実害につながりうるシステム内の脆弱性を検出し、対策方法を含めてご報告するサービスです。

リチェルカセキュリティの強み

高い診断力を持つCTFプレイヤーが
高品質な診断を提供します

CTF（※1）が世界各地で盛んに開催されています。なかでも、トップレベルの大会では、未知のシステムやアーキテクチャをゼロベースで学び、そのセキュリティ上の欠陥を発見することが求められます。

弊社は、世界トップレベルのCTFプレイヤーを登用し、日本随一のCTF開催実績を有しています。弊社エンジニアが参加する合同CTFチームは、2年連続で世界最大のCTFであるDEF CON CTFの予選を日本国内1位で通過し、決勝戦に出場しています（※2）。

CTFを通じて培った高い技術力と未知の環境への適応力を活かして、短期間でお客様の診断対象に適応し、的確に問題を指摘します。

※1　CTF (Capture The Flag) : セキュリティの知識・技能を競うコンペティション

※2　2023年現在

進化し続ける内製ツール・診断プロセスが
見逃されていた脆弱性にアプローチします

弊社は自動ツールに依存しません。診断サービスは、一般に手動の診断と自動ツールの組合せで提供されます。自動ツールは手動の診断が欠いているスケール性を補うために用いられますが、既製の自動ツールが脆弱性を見逃してしまうことを弊社は研究開発を通じて知っています。

弊社はそのジレンマを解消すべく、人手の診断を支援する内製ツールを通して、診断プロセスの改善を進めています。

診断料金を攻撃にフルコミットします

弊社は品質に妥協しません。一切外注をせず、弊社のエンジニアが、多角的視点でセキュリティリスクを徹底的に調査します。

診断メニュー

当サービスは幅広い診断対象を扱っております。ご希望と懸念点をお伝えいただければ、最適なメニューを提案いたします。

典型的なWebアプリケーションからモダンなフロントエンドやサーバーレス構成まで、あらゆる技術スタックとその攻撃手法を熟知したエンジニアが、お客様のWebアプリケーションに潜む脆弱性を攻撃者の視点から調査します。

OWASPのASVSや、IPAの『安全なウェブサイトの作り方』といったセキュリティガイドラインでカバーされる、SQLインジェクションのような広く知られた脆弱性だけでなく、システムの全体像を深く理解して初めて見つかるアプリ固有の脆弱性にもアプローチします。

ASVS：Application Security Verification Standard
IPA：独立行政法人情報処理推進機構

iOSやAndroidをはじめとするスマートフォン向けOSとそのアーキテクチャや仕様に対する深い理解を生かし、典型的なモバイルアプリをはじめとして、NFCやカメラなどのスマートフォン特有のデバイスや独自に実装した特殊な機能を用いたアプリケーションに潜む脆弱性を調査します。

ソースコードを深く検査するホワイトボックステストのほか、ビルドされたアプリケーションのみを解析するリバースエンジニアリングによる診断もお任せください。

サーバーやネットワーク機器の設定不備といった、アプリケーションのみのセキュリティ対策では対応できないシステム全体の設定不備を調査します。マルウェアに感染したり、内部に悪意のある人間がいるケースでもシステムへの被害を最小限に抑えたいといった要望にもお応えできます。

AWS/GCP/Azureといったクラウド基盤はもちろん、特殊なオンプレミス環境でも対応いたします。

他社様ではお断りされるような診断対象も取り扱っております。問い合わせフォームよりお気軽にご相談ください。

キーワード：Infrastructure as Code (IaC)（例：Terraform）、Dart/Flatter、ゲームチート、C/C++/Rust製のアプリ、機械学習モデルのセキュリティ（学習データ汚染、モデルや個人情報の窃取など）、大規模言語モデル (LLM) などを用いた対話型AIサービス

診断を入り口とした、SAST・DAST・IASTの運用・運用支援もご相談承ります。

診断プラン

診断料金は、診断員の稼働時間の見積値がベースとなります。弊社営業がご要望に応じて、費用対効果が最も高いプランを提案いたします。

稼働時間はおおよそ、診断対象の「広さ」と「深さ」をもとに見積もります。「広さ」は診断員が見るべきものの量を、「深さ」は辿るべき処理フローの深さを意味します。

診断の流れ

診断の流れと、各フェーズでの弊社作業は下記のとおりです。ご要望に応じて、個別対応も可能です。

お見積り

診断要件のヒアリング
実施方法・費用・期間のお見積り

ご契約

診断日程の調整
契約手続き

診断準備

診断対象の受け渡し
関係者様への周知
緊急時の連絡先確認

診断実施・経過報告

Slackや定例会議を通じたお客様サポート

診断結果のご報告

診断レポートによる、リスク評価・再現方法・改善案等の報告
診断を担当した診断員による詳細ご説明

診断後のご相談

診断終了後も、不明点の質疑や再診断の相談に対応

診断レポートのサンプルを無料でご覧いただけます

弊社診断員が、オープンソースソフトウェアRedisに対して実施した診断レポートをぜひご覧ください。
レポートの構成は、サービスで提供しているものと同一です。
脆弱性の説明から、対策方法、修正コストに至るまで、担当した診断員が丁寧に執筆しています。
弊社診断レポートは、デジタル庁の「政府情報システムにおける脆弱性診断導入ガイドライン」に準拠しています。

総評

結果のサマリー

診断対象

リスク評価基準

お客様のビジネスの性質を踏まえ、診断員がお客様にとってのリスクを定量評価いたします。

各脆弱性の概要と影響、再現・対策方法

お客様の理解を助けるために、問題視する背景と再現手順を丁寧にご説明します。
また、その脆弱性を修正する方法を、診断員がレポート内でご提案します。

各脆弱性の修正難度弊社独自の項目

脆弱性管理として、認知した脆弱性を適切な時期までに対処する必要があります。
お客様が、脆弱性の対処方針を判断するために、修正コストの見通しをご提示します。

サンプルレポートを入手する

よくあるご質問

情報セキュリティサービス基準に適合していますか？

当サービスは、経済産業省が策定した「情報セキュリティサービス基準」に適合しています。この基準は、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準です。

2023年12月現在、「脆弱性診断/ペネトレーションテスト」（登録番号：022-0012-20）と「組み込み・IoT機器セキュリティ診断」（登録番号：022-0012-50）の2つが登録されています。

情報セキュリティサービス基準認証マーク登録番号：022-0012-20

診断可能な技術スタックは何ですか？

JavaやGoなど一般的なプログラミング言語から、DartやFlutterのような比較的新しい言語・フレームワークまで実績があります。また、機械学習モデルや対話型AIサービス、Terraformといった構成管理ツールにも対応可能です。ほかの技術スタックをお使いの場合でも、お気軽にお問い合わせください。

診断の担当者と直接連絡できますか？

円滑な診断の実施には、お客様と弊社のコミュニケーション手段が重要です。弊社では標準でSlackコネクトに対応しており、お客様のSlackワークスペースから直接担当エンジニアに連絡をお取りいただけます。また、メールでの連絡にも対応いたします。ほかの連絡手段をご希望の場合はご相談ください。

緊急性の高い脆弱性はすぐに教えていただけますか？

お客様のビジネスに深刻な影響をもたらす可能性がある脆弱性が見つかった場合、原因・再現方法・影響範囲・修正方法を記載した速報をお送りします。

診断レポートは、デジタル庁が公開しているガイドラインに準拠していますか？

弊社診断レポートは、デジタル庁の「政府情報システムにおける脆弱性診断導入ガイドライン」に準拠しています。このガイドラインは、政府情報システムの関係者が脆弱性診断を効果的に導入することを目的とします。

納期が厳しくても診断してもらえますか？

弊社のリソースに空きがあれば可能です。納期に応じた特急料金をいただきますのでご承知ください。現在のリソースの空きについては、お問い合わせいただければお答えします。まずはお問い合わせから、希望の診断時期をお知らせください。

お気軽にお問い合わせください

診断対象の規模や診断期間など、お客様のご要望に応じてお見積りいたします。ご予算内での診断内容の相談や、短期間で特定の範囲に絞って診断するスケジュール最優先の診断などにも細かく対応します。

お見積りの際、対象のアプリケーションの仕様・構成・規模などを伺いますので、あらかじめご準備ください。

お問い合わせ

脆弱性診断/ペネトレーションテストVulnerability Assessment / Penetration Testing