English
お問い合わせ
Case Studies

セキュリティ診断サービス導入事例

サイバーディフェンス研究所のお客様からの声をご紹介します

サイバーディフェンス研究所のセキュリティ診断について

サイバーディフェンス研究所は、2008年の設立以来「人間がもたらす脅威には、人間しか対処できない」という信念のもと、バグバウンティやCTF、カンファレンスでの登壇など世界で活躍するトップレベルのホワイトハッカーを擁するセキュリティ専門家集団です。

セキュリティ診断サービスは、Webアプリケーション脆弱性診断・ネットワークペネトレーションテスト・組込機器/IoTセキュリティ診断・制御システムペネトレーションテスト・レッドチーム演習(擬似サイバー攻撃)の5領域をカバーしています。診断対象は、一般的なWebサービスやSaaSにとどまらず、産業制御システム(ICS/SCADA)、IoT機器、モビリティ、無線エミュレータといった特殊領域にまで及びます。

顧客層は、スタートアップから東証プライム上場企業・グローバル展開企業まで規模を問わず、金融、医療DX、エンタメ・プラットフォーム、SaaS、エンジニアリング・インフラ、ISP、IT・SIなど、多様な業種にわたります。また民間企業にとどまらず、防衛省・自衛隊・警察庁・内閣官房・デジタル庁・経済産業省・外務省など、国家の安全保障を担う官公庁・法執行機関への支援実績もございます。

本サービスは、経済産業省が定める「情報セキュリティサービス基準」に適合するサービスとして、「情報セキュリティサービス台帳」に登録されています(脆弱性診断サービス:登録番号018-0006-20/ペネトレーションテストサービス:登録番号018-006-60)。これは一定の技術的要件および品質管理要件を第三者機関が継続的に審査・確認しているサービスです。

診断はすべて外部委託を行わず、準備段階から報告会まで自社エンジニアが担当します。一件の診断あたり必ず複数人のチームで実施し、ツール診断では検出できない脆弱性まで手作業で検証します。発見した脆弱性は単体で評価するのではなく、複数の脆弱性の組み合わせによって顕在化する連鎖的な脅威まで深く分析した上で、優先して対処すべき課題と推奨対策を提示します。

お客様がサイバーディフェンス研究所を選んだ理由

金融・フィンテック、医療DX、エンタメ・ゲーム、SaaS・クラウド、総合エンジニアリング、IoT・医療機器など多様な業種の企業が、サイバーディフェンス研究所に脆弱性診断・ペネトレーションテストを委託した理由を、実際の選定コメントをもとに5つの軸で整理しました。

選定軸 01

「ツール診断では見えないリスク」を見つけてほしい

自動スキャンツールが検出できるのは既知の脆弱性パターンに限られます。お客様が求めていたのは、エンジニアが手作業で検証し、複数の脆弱性の組み合わせによって生じる実害シナリオまで分析する診断でした。

  • 「顧客の将来キャッシュフローや資産状況を扱う金融サービスに対して、高度な手動診断と実戦的なアプローチに強みを持つサイバーディフェンス研究所へ脆弱性診断を委託しました。」
    株式会社MILIZE様
    AI・金融サービス
  • 「セキュリティへの取り組みや想いを自分の言葉で語るエンジニアの人間性に魅力を感じ、サイバーディフェンス研究所にペネトレーションテストを委託しました。」
    クックパッド株式会社様
    レシピ・フードテック
  • 「画一的な脆弱性の列挙ではなく、その脆弱性がハッキングで悪用されることでどのようなリスクにつながるかを認識することができました。」
    株式会社ディー・エヌ・エー様
    ゲーム・エンタメ・プラットフォーム
選定軸 02

「攻撃者と同じ思考」で検証してほしい

一般的なセキュリティ対策では防ぎきれない高度な攻撃に対抗するには、攻撃者の視点と発想を持つエンジニアによる擬似攻撃が必要です。最新の攻撃シナリオを熟知した実戦型の診断を求めるお客様に選ばれています。

  • 「最新の攻撃からお客様の情報を守るためには一般的なセキュリティ対策では十分と言えず、攻撃者の思考を持って攻撃を実施するサイバーディフェンス研究所へ診断を依頼しました。」
    freee株式会社様
    クラウド会計・バックオフィスSaaS
  • 「以前より実施してきたWebアプリケーションへのセキュリティ診断に加え、外部、内部からのネットワークへのペネトレーションテストをサイバーディフェンス研究所に委託しました。」
    株式会社MIXI様
    エンタメ・スポーツテック
  • 「詳細な仕様を開示せずともAPI仕様を理解する能力を持ったサイバーディフェンス研究所に高い技術力を感じ、診断を依頼する事になりました。」
    メルカリ株式会社様
    マーケットプレイス・EC
選定軸 03

「技術力・実績・対応の丁寧さ」すべてが揃っている

診断の品質は技術力だけでなく、コミュニケーション品質にも左右されます。報告後の改善提案、技術的な質問への迅速な対応まで含めたトータルのサポート品質を評価して選ばれるケースが多くあります。

  • 「技術力が高く、様々な組織に対して診断サービスを提供された実績が豊富である点に加え、丁寧かつスピーディにご対応いただいた点が決め手になりました。」
    日揮ホールディングス株式会社様
    総合エンジニアリング・建設
  • 「豊富な経験に基づくサイバーディフェンス研究所の診断サービスによって、1つでも多くの脆弱性が検出される事を期待して依頼させていただきました。」
    株式会社MICIN様
    デジタルヘルスケア・オンライン医療
  • 「以前までは他社に委託してWebアプリケーション診断を実施していましたが、今回はこれまでにない別の観点から診断を行うことで未知の脆弱性を発見できることを期待して依頼させていただきました。」
    フォースタートアップス株式会社様
    スタートアップ支援・人材
選定軸 04

「国家機関での実績」が信頼の根拠になった

個人情報・金融情報・医療情報など高いセキュリティ基準が求められるサービスを提供するお客様には、官公庁・防衛省・警察庁・デジタル庁などへの診断実績が、委託先としての信頼性の根拠になっています。

選定軸 05

「IoT・組込機器」「人によるペネトレーションテスト」という難しい領域を任せられる

Webアプリケーションやネットワーク診断は多くの事業者が対応できますが、IoT・組込ハードウェアへの診断や、セキュリティ対策の有効性そのものを「人」が検証するペネトレーションテストは、対応できる事業者が限られます。この専門性と希少性を評価して選ばれたケースがあります。

  • 「IoT機器などのハードウェアに関する診断サービスを国内で提供している事業者様は多くないため、サイバーディフェンス研究所の診断に期待して依頼しました。」
    アイリス株式会社様
    AI医療機器
  • 「DMZに対してインターネット経由で侵入できるか、侵入された場合に被害を食い止めることが可能か等を検証するために、リアルな外部の脅威を想定したペネトレーションテストを依頼しました。」
    株式会社日立製作所様
    社会インフラ・総合電機
  • 「セキュリティ対策が有効に機能しているのか、対策の漏れはないのかを判断するには、脅威の対象である『人』によるペネトレーションテストが必要であると判断しサイバーディフェンス研究所に依頼しました。」
    伊藤忠テクノソリューションズ株式会社様
    ITシステムインテグレーション
  • 「OTシステムに関する知見を持ち、IEC 62443などの産業用制御システムセキュリティ規格への理解が深いエンジニアが所属しており、弊社システムへの理解に基づいた適切なペネトレーションを実施してもらえる期待値が高かったことが決め手となりました。」
    横河電機株式会社様
    OT・制御システム・計測機器

横河電機株式会社様

ISASecure認証で要求されるペネトレーションテストの資格を有するエンジニアが複数在籍していることから、その高い専門性と豊富な実績に期待してサイバーディフェンス研究所に委託しました。

制御システムペネトレーションテスト

日揮ホールディングス株式会社様

技術力が高く、様々な組織に対して診断サービスを提供された実績が豊富である点に加え、丁寧かつスピーディにご対応いただいた点が決め手になりました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

株式会社MILIZE様

顧客の将来キャッシュフローや資産状況を扱う金融サービスに対して、高度な手動診断と実戦的なアプローチに強みを持つサイバーディフェンス研究所へ脆弱性診断を委託しました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

株式会社インターネットイニシアティブ様

プライバシー保護のためのサービス「STRIGHT」をお客様に安心してご利用頂くために診断を依頼しました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

アイリス株式会社様

IoT機器などのハードウェアに関する診断サービスを国内で提供している事業者様は多くないため、サイバーディフェンス研究所の診断に期待して依頼しました。

Webアプリケーション脆弱性診断
組込機器・IoTセキュリティ診断

株式会社MICIN様

豊富な経験に基づくサイバーディフェンス研究所の診断サービスによって、1つでも多くの脆弱性が検出される事を期待して依頼させていただきました。

Webアプリケーション脆弱性診断

ベルトラ株式会社様

セキュリティレベルの向上を目指し、新サービスのリリースに伴い、サイバーディフェンス研究所による手動診断を実施することを決定しました。

Webアプリケーション脆弱性診断

フォースタートアップス株式会社様

以前までは他社に委託してWebアプリケーション診断を実施していましたが、今回はこれまでにない別の観点から診断を行うことで未知の脆弱性を発見できることを期待して依頼させていただきました。

Webアプリケーション脆弱性診断

クックパッド株式会社様

セキュリティへの取り組みや想いを自分の言葉で語るエンジニアの人間性に魅力を感じ、サイバーディフェンス研究所にペネトレーションテストを委託しました。

Webアプリケーション脆弱性診断

freee株式会社様

最新の攻撃からお客様の情報を守るためには一般的なセキュリティ対策では十分と言えず、攻撃者の思考を持って攻撃を実施するサイバーディフェンス研究所へ診断を依頼しました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

メルカリ株式会社様

詳細な仕様を開示せずともAPI仕様を理解する能力を持ったサイバーディフェンス研究所に高い技術力を感じ、診断を依頼する事になりました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

サイボウズ株式会社様

自社のクラウドサービス「cybozu.com」でお客様へ提供するサービスに対して適切なセキュリティを確保すべく、アプリケーションに対するペネトレーションテストをサイバーディフェンス研究所に委託しました。

Webアプリケーション脆弱性診断

株式会社MIXI様

以前より実施してきたWebアプリケーションへのセキュリティ診断に加え、外部、内部からのネットワークへのペネトレーションテストをサイバーディフェンス研究所に委託しました。

Webアプリケーション脆弱性診断
ネットワークペネトレーションテスト

株式会社ディー・エヌ・エー様

画一的な脆弱性の列挙ではなく、その脆弱性がハッキングで悪用されることでどのようなリスクにつながるかを認識することができました。

Webアプリケーション脆弱性診断

株式会社日立製作所様

DMZに対してインターネット経由で侵入できるか、侵入された場合に被害を食い止めることが可能か等を検証するために、リアルな外部の脅威を想定したペネトレーションテストを依頼しました。

ネットワークペネトレーションテスト

伊藤忠テクノソリューションズ株式会社様

セキュリティ対策が有効に機能しているのか、対策の漏れはないのかを判断するには、脅威の対象である「人」によるペネトレーションテストが必要であると判断しサイバーディフェンス研究所に依頼しました。

ネットワークペネトレーションテスト