概要

金融サービス業界はITイノベーションのリーダーとして認められていますが、多くの組織でリスクが増大する一方、セキュリティ対策を拡大することが出来ていません。

サイバー攻撃者はお客様のITネットワークやシステムインフラストラクチャだけでなく、コアバンキングシステム(CBS)、インターネットバンキングアプリケーション、ATM、POS(point-of-point)システムなどの弱点を悪用しようとしています。

各国政府が銀行や金融サービス会社の規制を強化するとともに、モバイルバンキングアプリケーションの需要とともに、金融機関はサイバーセキュリティとコンプライアンス戦略を再考する必要があります。

サイバー攻撃から金融機関を守るために、私達は何をすべきでしょうか?

脆弱性管理に焦点を当てる

基本的にサイバー犯罪者は脆弱性が存在するという前提で行動するため、抜け漏れなくすべてのシステムをカバーする高度なソリューションを導入して下さい。進行中の脅威に対する継続的かつ持続可能な対応を構築し、市場で最も高度なツールを使用して強力なプロセスを作成します。

  • インフラストラクチャ資産の全範囲を継続的に監視及び評価する
  • 詳細なセキュリティ設定チェックを含む、ブラックボックス・ホワイトボックス両方にて、徹底的にサイバー攻撃の分析を実行します
  • 低い誤検知率で、時間を節約
  • セキュリティの専門家達によって絶えず更新される脆弱性の脅威を、常に先取りする意識を持って下さい
  • リスクコントロールをKPIに結びつけ、ビジネスをどの程度保護しているかを測定する
  • 特定のビジネスニーズに基づいて最も重要なデータに焦点を当てる

インフラ向けのトータル脆弱性とコンプライアンス診断は、1,000を超える企業が信頼するオールインワンの脆弱性管理ソリューションの、詳細なセキュリティ評価を提供し、実用的な攻撃モデルを作成し、ビジネスリスクを更新および検証し、セキュリティとコンプライアンスを維持する独自の能力を備えています。

Web及びモバイルサービスのセキュリティを向上させる

Verizon 2014 Data Breach Investigation Report(DBIR)は、金融機関にとって最大の脅威はWebアプリケーションへの攻撃であると認定しました。迅速な開発サイクルと大多数の銀行でwebアプリケーションが使用されていることを考えると、驚くことではありません。開発者がアプリケーションを脆弱性や悪用から守るためにの必且つ高度な知識が不足している場合は、どうすればよいでしょうか?

当社のアプリケーションファイアウォールとアプリケーションインスペクタは、今日のアプリケーションセキュリティの課題を包括的かつ最適に解決します。他ソリューションにはない機能により、金融機関の内外アプリケーションをサイバー攻撃から保護し、詐欺や機密データの漏洩を防ぎ、ネットワークやwebサービスを守ります。

ソリューションズ

システム全体の脆弱性診断

このソリューションは、様々なITシステムの脆弱性やシステム構成上の欠陥をエージェントレス且つ柔軟なアクセスにて、さらにブラック・ホワイトボックスの両面から認識し、断片化されたセキュリティ対策及び費用が掛かる専任コンサルタントを置き換えます。

主な機能:

  • 脆弱性診断
  •  
  • 脆弱性対策のフィードバック
  • コンプライアンスチェック(ISO, SOX, PCI DSS, 社内ポリシー,等)
  • 柔軟性の高い報告様式
  • XMLベースの統合されたAPI

主な特徴:

  • お客様の全ITシステムへの脆弱性診断
  • 業界・世界基準のコンプライアンスチェック
  • 最小限の負荷
  • 最小限の誤検知
  • 自動化
  • エージェントレス
  • 柔軟性の高い報告様式
詳細はこちら
Web・モバイル・セキュリティ診断

本診断では、アプリケーションへのアクセス権がない侵入者(ユーザーレベルのアクセス権なし)の観点から、オンラインバンキングシステムに対して、グレーボックスでのWeb・モバイルアプリケーションのセキュリティテストを行います。さらに、Webアプリケーションのソースコードとアーキテクチャの分析を含む、ホワイトボックスのWebアプリケーションセキュリティテストを提供しています。

私どもが提供するテスト結果の詳細:

  • 特定された全脆弱性の説明
  • ハッカーからの攻撃が成功したもの・影響があった上で、最も重大な脆弱性と認識された内容
  • 特定された脆弱性及び今後なり得る可能性を含む脆弱性を軽減するための推奨事項
  • 検出された脆弱性を排除する方法を説明するために、webアプリケーションファイアウォールのセキィリティポリシーも含め、サンプルのアプリケーションコードを提供することもございます。

主な特徴:

  • お客様の全ITシステムへの脆弱性診断
  • 業界・世界基準のコンプライアンスチェック
  • 最小限の負荷
  • 最小限の誤検知
  • 自動化
  • エージェントレス
  • 柔軟性の高い報告様式

モバイルアプリケーション用テスト 詳細はこちら

ウェブアプリケーション用テスト 詳細はこちら

ペネトレーションテスト

弊社では銀行や電気通信会社から公益事業会社、政府機関に至るまで、幅広いシステムへのペネトレーションテストを提供しています。私たちのチームが実施する一般的なテスト内容は以下で実施します。:

  • システム全体へのハッキングに先立って、オンラインバンキングシステムのWebインターフェイスからハッキングを試みます。
  • セキュリティ研修に準拠し、ソーシャルエンジニアリングも実施できるスタッフを採用しております。
  • 既存のシステム設定、構成ミス、パスワードなどの脆弱性を標的にして、社内ネットワークへの不正アクセスを試みます。

テスト結果

私どもが提供するペネトレーションテスト結果の詳細:

  • 情報セキュリティシステム内で特定された弱点
  • 特定された全脆弱性についての説明
  • 各部門の業務に関する情報を踏まえた上での、主な懸念事項の説明
  • 特定された脆弱性リスクへの対処方法の提案
詳細はこちら
ATMセキュリティ診断

ATMネットワークを詐欺から守るために、弊社はATMシステム全体を見る一連の実践的な脆弱性評価を利用しています。 Trojan.SkimmerやPloutusの攻撃などで悪用されるソフトウェア、ハードウェア、通信プロトコルの脆弱性を特定できるため、不正な現金引き出しを防止し、支払いカードデータを保護することができます。さらに、カスタムツールにて、脆弱性に関連する潜在的な可能性とお客様のビジネスへの影響を想定することができます。

最も一般的で事例が多い脆弱性は以下でございます:

  • 脆弱なユーザー認証とアクセス権限
  • ネットワーク通信における脆弱性
  • ハッカーがキオスクモードを終了し、ATM内のオペレーティングシステムへの不正アクセスを許可する欠陥を含む、ソフトウェアおよびATM固有のネットワークサービスの脆弱性
  • バイオスのセキュリティ欠陥
  • ATMを構成する機器(ピンパッド、ディスペンサーユニット、カードリーダーなど)内のセキュリティが不十分で、XFSによる通信の脆弱性があり、攻撃者がこれらのデバイスに無許可でアクセスできる可能性があります

診断結果

侵入テストの結果は以下の通りです。

  • 情報セキュリティシステム内で特定された弱点
  • 特定された全脆弱性についての説明
  • 各部門の社員の業務に関する情報を踏まえた主要な懸念事項の説明
  • 特定された脆弱性リスクへの対処方法の提案

さらに当社のセキュリティ評価手法は、国際的に認められている広範な情報セキュリティ基準および規制を考慮しております。:

  • PCI DSS及びPCI PTS
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • WASC (Web Application Security Consortium)
  • OWASP (Open Web Application Security Project)
詳細はこちら