システムの脆弱性を検出 - グローバルセキュリティエキスパート株式会社

Corporate Profile
会社概要
社
設
資
役
名
立
金
員
本
株
決
東
主
算
京
本
期
社
浜離宮恩賜庭園
グローバルセキュリティエキスパート株式会社(GSX)
2000年4月
2億7000万円
代表取締役社長
久慈 正一
代表取締役副社長
渡邊 学
取締役常務
多山 信彦
取締役常務
辻
誠
取締役
小宮 一浩
取締役
渡邊 達雄
取締役
柴沼 俊一
執行役員
青柳 史郎
株式会社ビジネスブレイン太田昭和
株式会社シグマクシス
3月31日
東京都港区海岸1-15-1
スズエベイディアム 4F
TEL:03-3578-9001
FAX:03-3578-9020
四季劇場
汐留
ビルディング
東京都立芝
商業高等学校
都営大江戸線
大門
世界貿易
センタービル
浜
松
町
第
一
京
浜
旧芝離宮恩賜庭園
山
手
線
首
都
高
速
都
心
環
状
線
東京都立
産業貿易センター
浜松町館
ベイサイド
竹芝
東京ガスビル
竹芝ふ頭
公園
インター
コンチネンタル
東京ベイ
首都高速都心環状線
 ゆりかもめ竹芝駅
 JR浜松町駅
 都営浅草線・大江戸線大門駅
徒歩3分
徒歩7分
徒歩8分
沿 革
1997.10
2000.04
2001.04
2002.10
2002.11
2005.12
2006.01
2007.10
2010.10
2011.04
2011.07
2011.12
2012.07
2012.11
2012.11
2013.08
2013.12
2014.01
2014.04
2014.05
2014.10
2015.01
2015.02
株式会社ビジネスブレイン太田昭和のグループ会社である、株式会社ギャブコンサルティングにて、
タイガーチームサービス(侵入検査/模擬攻撃検査)の提供開始
グローバルセキュリティエキスパート株式会社設立(ギャブコンサルティングより営業譲渡)
Webアプリケーション検査サービスの提供開始
個人情報保護基本法(現 保護法)に関するコンサルティングサービスの提供開始
英国規格協会よりアソシエイトコンサルタント会社として認定される
ISMS認証取得支援コンサルティングサービスの提供開始
ISMS(BS7799)を取得、タイガーチームサービスもISO9001を取得
情報セキュリティコンサルティング会社で最初のISO27001を取得
内部統制(日本版SOX法)コンサルティングサービスの提供開始
DB脆弱性検査サービスの提供開始
クラウドシステム検査の提供開始
クラウドセキュリティ監査サービスの提供開始
GSXスマートフォンセキュリティスイートの提供開始
APT(標的型)攻撃耐性評価の提供開始
スマートデバイス安心導入運用サービスを提供開始
標的型メール訓練サービスの提供開始
EAGLE TEAM SERVICEの提供開始
スマホアプリセキュリティ診断の提供開始
FireEye製品アラート解析サービスの提供開始
ISO/IEC27001移行支援サービスの提供開始
金融機関向けシステム監査・評価サービスの提供開始
EAGLE TEAM SERVICE for FortiWebの提供開始
内部不正に係る個人情報セキュリティ対策の評価現状調査サービスの提供開始
CSIRT構築運用支援サービス、マルウェア感染調査の提供開始
株式会社シグマクシスとの合弁契約締結
加盟団体及び資格
加
盟
団
体
システム監査/
セキュリティ監査






日本ネットワークセキュリティ協会(JNSA)
情報セキュリティガバナンス協議会(ISGA)
Web感染型マルウェア対策コミュニティ
日本スマートフォンセキュリティフォーラム(JSSEC)
金融情報システムセンター(FISC)
社団法人 日本内部監査協会(CIA)
 システム監査企業台帳/情報セキュリティ監査企業台帳 登録
 日本カード情報セキュリティ協議会(JCDSC)
 BCMSユーザーグループ
 一般社団法人 日本クラウドセキュリティアライアンス
(CSAジャパン)
 日本シーサート協議会(GSX-CSIRT)
グローバルセキュリティエキスパート株式会社
URL : http://www.gsx.co.jp/
http://www.tiger1997.jp/
システムの脆弱性を検出
TIGER TEAM SERVICE
GSXの専門エンジニアによる脆弱性診断サービスの総称です。ハッカーと同様の
技術を持つ専門エンジニアが、お客様のネットワークシステムに擬似攻撃を実施し、
脆弱性の有無を診断します。検出した脆弱性については、その詳細な内容と対
策措置、結果報告書までをご提供します。






有効なマネジメントの確立
プラットフォーム診断
 PCI DSS対応
Webアプリケーション診断
脆弱性診断&
スマホアプリセキュリティ診断
スキャンサービス
IPv6診断
データベース診断
クラウドシステム診断
 CSIRT構築運用支援サービス
 内部不正に係る個人情報セキュリティ対策
の評価現状調査
 スマートデバイスガイドライン策定支援
 クラウドサービスガイドライン策定支援
 セキュリティ監査
高レベルの脆弱性診断サービスを実現
診断ツールやASPサービス等の診断手法では実現できない、
高レベルの診断(網羅性と検出精度が高い)をご提供し
ます。
Consulting
疑似攻撃で
脆弱性を検出
脆弱性診断
多様な診断対象への対応、診断メニューの豊富さ
スマホネイティブアプリやPCクライアントアプリ等の特殊なアプ
リ、IPv6など、多様な診断対象に対応することができます。
また、データベース診断やパスワード解析などの特定の対象
や内容に特化した診断サービスも提供しています。
コンサルティング
診断結果報告書
検出した脆弱性の
詳細内容と
対策措置を報告
診断時の安全性を最大限に優先
サービス停止や業務の中断などが発生しない様、安全性を
充分に考慮した診断手法と最大限の人的注意を払いなが
ら診断を実施しています。
報告内容をもとに対策措置を実施していただくことで、
セキュリティレベル向上に寄与します。
サイバーセキュリティ
サービス
Cyber Security Service(CSS)
標的型攻撃による被害が増大しています。ゼロデイ攻撃や、メールを介してマルウェアを仕込ませたり、ドライブバイダウンロード手法
を用いてWeb改ざんを行うなど、手口は巧妙化し、脅威は高まっています。
マルウェア感染調査サービス
感染端末
FireWall
どのくらいマルウェアの脅威に晒されているのか?
(調査期間に侵入してくるマルウェアや
未知の脆弱性を突く攻撃の有無)
感染者端末から
攻撃者サーバへの
通信
ミラーパケット
既にマルウェアに感染している端末の有無
調査用機器
コールバック通信
を検知
(攻撃者サーバへの通信=コールバック通信*の有無)
*コールバック通信・・・攻撃者サーバへの不正通信
高度化・巧妙化するサイバー攻撃に対処するため、金融庁は銀行・証券会
社・保険会社等の金融機関向けの「総合的な監督指針」及び「金融検査
マニュアル」等を改正し、サイバーセキュリティ管理態勢整備の一貫として
CSIRT等の緊急時対応及び早期警戒のための体制整備を要求しています。
CSIRTの代表的な機能
インシデント事後対応
新しい脅威に対抗
導入・運用支援
 標的型攻撃対策 専用アプライアンス
 アラート解析サービス
 UTM(統合脅威管理)アプライアンス
 次世代ファイアウォール(NGFW)
 Webアプリケーションファイアウォール(WAF)
事故対応・教育等
 標的型メール訓練サービス
 マルウェア感染調査サービス
 セキュリティ事故対応
 Bot感染調査
 アクセスログ評価
 セキュリティ教育
インシデント事前対応
セキュリティ品質向上
調査・
方針策定
機能
 インシデント分析
 インシデント対応方針策定
 セキュリティ関連情報収集
 技術動向調査
 脆弱性情報対応
 セキュリティ関連情報収集
 技術動向調査
 脆弱性情報対応
対応機能
 インシデントハンドリング
 インシデント対応支援
 セキュリティツールの開発
 製品評価・認定
チェック機能
 インシデント/セキュリティ
イベント検知
 インシデント/セキュリティ
イベント監視
 セキュリティ監査/査定
 リスク評価・分析
 セキュリティコンサルティング
 セキュリティ関連情報提供
 セキュリティ教育
 トレーニング
 啓発活動
 外部団体との連携
 外部団体との連携
教育機能
窓口機能
-
 発生報告受付
(社内/外部)
標的型メール訓練サービス
標的型攻撃を模擬した【訓練メール】を対象者に送信し、攻撃メールへの対応を教育訓練します
CSSは、「ゼロデイ攻撃」「標的型攻撃」「マルウェア解析」などの新しい攻撃への対策手法やソリューションをご提供します。
攻撃者サーバ
(C&Cサーバ)
外部からの不正アクセス、
Web改ざん、社員や外部委
託先による内部不正行為等、
情報に関わるリスクは増大して
います。またクラウドコンピュー
ティングやスマートデバイスの普
及など、企業を取り巻くIT環
境も劇的に変化しています。
こうした環境の変化に対して、
CSIRT構築や運用、セキュリ
ティ監査やシステム監査、リス
クアセスメント、ポリシー策定、
PCIDSS準拠認定、ISMSを
始めとするISOやPマークの取
得支援など様々なコンサルティ
ングサービスをご提供します。
システム監査
セキュリティポリシーの策定
ISO認証取得・更新対応支援(ISMS/ITSMS/QMS/EMS等)
リスクアセスメント評価
セキュリティ教育(マネージメント)
システム運用成熟度評価(ITIL)






攻撃メールを模擬した実際には無害の”訓練メール”を
GSXが対象者に送信します。
訓練メールに含まれる、
URLリンクあるいは添付
ファイルをクリックした対象
者には、教育コンテンツ
が表示されると共に、開
封した日時等のアクセス
教育コンテンツを表示し、
適切な教育研修を
ロ グ が GSX 訓 練 サ ー バ
実施します。
側に取得されます。最後
に訓練結果を集計し、ロ
グデータ一式と共にご報
告します。
項目名
送信元メールアドレス [email protected]
件名
【秘】前回議事録の送付
内容
GSXの標的型メール訓練サービスの特長
1
GSX独自開発
システムによる、
柔軟な
カスタマイズ対応
平素大変お世話になっております、ABCシステム田中です。
前回お打ち合わせの際の議事録について、
添付ファイルにて送付させて頂きます。
本文
お打ち合わせの際の内容通り、一般リリース前の情報が
記載されておりますので、お取扱いにはご留意を御願い申し上げます。
-------------------ABCシステム 田中
添付ファイル名
3
議事録_ABCsys_0110.doc
訓練メールのURLリンク
もしくは添付ファイルをクリックすると・・・
個人毎のアクセスログを
取得し、ご報告します。
2
初めての訓練でも、
手間を掛けずに、
効果の高い訓練を
実現する
サポートコンテンツ
4
標的型攻撃対策の
訓練サービス自体への
エキスパートによる
万全のセキュリティ対策
訓練全般の
サポート・アドバイザリー