業務管理/シフト管理システムのサイバーセキュリティテストの実施
サービス内容
業務管理/シフト管理システムの総合プラットホームをサービス提供しています
約350社以上が導入している業務管理、シフト管理システムへのサイバーセキュリティテストを実施しました。
こちらは現在の業界のベスト プラクティスと比較して、外部侵入テストを含むインフラストラクチャーおよびアプリのセキュリティ体制の評価になります。
サービス上の課題・目指したいサービス
課題業界内でも有数の業務管理/シフト管理システムを提供するサービスに成長したが、一方でサービス領域の拡大に伴って、古くからのシステムを拡張していったため、セキュリティ面への不安があった。
目指したいサービス
・システム全体のサイバーセキュリティテストを実施すること
・改善方法含め評価をレポートして、すぐに改善に向けた対応を可能にすること
・セキュリティ課題を検知/把握した上で、今後のサービスの拡大や発展につなげていくこと
クライアントが持たれている課題/要望
・セキュリティテストのためのノウハウやリソースが自社にない
・システム開発当時のコアメンバーがすでにおらず、ブラックボックスな部分が多い
・なるべく早くテストを実施したい
・脆弱性のある部分や改善方法を抽出・提示してほしい
当社を選択頂いた理由
・ベトナムの国家サイバーセキュリティセンターと協力関係にあり、安心して任せられること
・セキュリティテストやシステムなど、クライアントの知見が薄い部分に対し重点的にヒアリングを実施し、問題点を明らかにしたこと
・急な依頼にも関わらず、見積やリソースの確保含め早急に対応可能だったこと
業界標準のセキュリティ体制を想定した、ハイレベルなセキュリティテストをご提案
外部侵入テストを含むインフラストラクチャーおよびアプリのセキュリティテスト
下記の手順にてテストを実施しました。
•計画 (Planning) : お客様の目標を確認し、エンゲージメントのルールを計画します。
•検出 (Discovery) : スキャンとリストアップを実行して潜在的な脆弱性、弱点、及びエクスプロイトを特定します。
•攻撃 (Attack) : エクスプロイトによる潜在的な脆弱性を確認し、新規アクセス時の検出を実行します。
•報告 (Reporting) : 見つかった全ての脆弱性、エクスプロイト、失敗した試み及びシステムの強みと弱みをドキュメント化します。
計画〜攻撃までは3週間、報告は1週間を要し、計1ヶ月間にて実施しました。
