セキュリティ診断サービス

サーバー/ネットワーク機器/WEBアプリケーションの各分野から調査し、診断します。 このサービスには、ユーザーの業種により、一般的に着目される事項のみをチェックするものと、EC サイトで受発注、決済などを行う業種向けの国際基準レベルの診断、 の２種類があります。セキュリティ診断は１回で済みとせず、定期的に実施するのが一般的です。

料金レベル

一般業務のユーザー（Trialの１回）

１８０万円

定期診断で２年間／間隔は契約時に取り決め

１４５万円／各回

Critical Business/国際基準レベル ※

３５０万円

定期診断で２年間／間隔は別途取り決め

２５０万円／各回

※ WEBアプリケーション診断の手動診断工程にAIによる機械学習とRPA（ロボティクスプロセスオートメーション）を投入しています。

漏洩アカウント調査

世界中で起きているハッキング事件によってサイバー空間に漏洩したデータを調査し、その中から、知らないうちに漏洩してしまったユーザー様のアカウント情報(電子メールとID、パスワード等)を調査します。オープンソース・インテリジェンス(OSINT)は、「合法的に入手できる情報やデータ」を「合法的に調べ、突き合わせる」ことで真実にたどり着く手法で、ソリトンが開発して実績多い基盤技術です。この調査は、依頼後、10営業日以内に報告します。

料金レベル

350,000円～/ドメイン(税抜) なお、グループ会社が同時に調査される場合、そのグループ会社には300,000円

CSIRT運用支援サービス

CSIRT(Computer Security Incident Response Team)は、組織内のセキュリティ事故対応チームのことです。そのカバー範囲は、事故の防止と被害を最小化するための活動、及び事故対応と復旧まであり、そのための脅威情報の収集や危機対応の訓練、規程作りなど一切が含まれています。

我が国でも2007年から活動が始まり、2020年から一般財団法人「日本シーサート協議会」が誕生しました。
一方、サイバー攻撃の増加に伴い、一部の大企業を除き、導入後のCSIRT運営に苦労するという課題があります。なぜか？ CSIRTは専業体制ではなく、メンバーは通常業務との掛け持ち(兼業)が現実だからです。メンバーは通常業務に忙殺されており、CSIRTが行うべき任務が停滞がちになるのです。下に表としてまとめました。

CSIRTがカバーする活動リスト

平常時のCSIRT活動		緊急時の活動
インシデント事前対応	セキュリティ品質向上	インシデント事後対応
調査方針 策定機能	・セキュリティ関連情報収集 ・技術動向調査 ・脆弱性情報対応	・セキュリティ関連情報収集 ・技術動向調査 ・脆弱性情報対応
対応機能	・セキュリティツールの開発	・製品評価、認定
チェック機能	・インシデント/セキュリティイベント検知 ・セキュリティ監査/査定	・リスク評価、分析 ・セキュリティ リスクコンサルティング
教育機能	・セキュリティ関連情報提供	・セキュリティ教育 ・トレーニング ・啓発活動
窓口機能	・外部団体との連携	・外部団体との連携

ソリトンは、この現実に対処する新サービスを提供しています。

本サービスでは、CSIRTの平常時活動である脅威情報の収集や危機対応訓練といった社内リソースでは対応が困難な活動を、主に支援しています。

基本支援メニュー

（年間契約）

最新の脅威情報の分析とその対策案を提供します。月次でセキュリティ専門家による脅威報告レポートを作成し、CSIRT支援経験を持つコンサルタントによる報告会を行います。

オプションのサービスとして次の2つを用意しています。
A.インシデント対応訓練サービス（机上訓練）
B. インシデント対応手順書の改定料金

料金レベル

基本	セキュリティ脅威報告サービス （年間契約）	￥350,000（月額）	最新の脅威情報の分析及び対策を提供 ・脅威情報レポートの提供（月1回） ・コンサルタントによる報告会（月1回）
オプション	インシデント 対応訓練	￥480,000（１回）	・訓練シナリオの策定 ・訓練準備及び当日進行 ・課題取りまとめと総評レポート作成
	対応手順書 改定	￥980,000（１回）	インシデント対応訓練により判明した課題を実際の対応手順書に落とし込みます

IoTセキュリティ診断サービス

家電、防犯機器、自動車、医療機器、制御装置など、あらゆる電子機器、デバイスが世にあふれています。以前、これらは多くStand Aloneで 使用され、そのネットワークは局所的で閉じていました。最近、業務の自動化、遠隔化、省力化を図るべくネットワーク化が広がり、ついにインターネットにも接続されるようになりました。ここで、デバイス群はCyber攻撃の対象になり始めます。そのサイバーリスク対処は多岐にわたり、製造ラインのシステムなどは困難を極めます（※）。

ソリトンが提供するIoTセキュリティ診断は、要素デバイスのファームウェアの脆弱性を調べることから始めています。

診断項目の例

・潜在的なゼロデイ脆弱性のチェック
・公開されている脆弱性のチェック
・暗号鍵のチェック
・ファームウェア内の潜在的なバックドア等を検出
・バイナリ・ハードニングのカバレッジ計測

なお、この診断では、お客さまのソースコードは不要です。
カバーしているOSはLinux、QNX、Androidです。UEFI(Unified Extensible Firmware Interface)や、リアルタイムOS(VxWorks等)などは今後、順次サポートする予定です。
REST APIを介したクラウド型診断サービスも可能です。APIを介して、コンパイル済みバイナリコードや統合したサードパーティソフトウェアなどのリスクを特定できます。

大量生産されるデバイスに対する診断

その開発段階において、ステージ毎に脆弱性診断も並行して行うサービスも可能です。このサービスは、きわめて経済合理性に合うものと理解されます。市場に出荷してエンドユーザーまでも至らしめた商品を、後日「脆弱性あり」と告知し、回収するロスとイメージ低下は莫大です。

いずれにせよ、社内リソースであるFirmwareの設計経験や制御システムの開発経験などを活用し、その脆弱性の出発点レベルの診断の1つに、米Refirm Labs社（2022年にMicrosoft社に買収された）を採用しています。

料金レベル

３５０万円～　８００万／デバイス
開発と同時進行の診断：１２０万円／Stage

(※) 組織内で、インターネットに接続されているデータ用のネットワークと製造ライン、制御系のネットワークを分離してCyber対策とする技術は日進月歩です。 詳細はソリトンのセキュリティ事業部宛、お問い合わせください。

サプライチェーンのサイバーセキュリティ調査

企業サプライチェーンの弱点を悪用したランサムウェア攻撃が増大しています。
特徴は、ターゲット企業を狙うに際し、セキュリティ対策の低いグループ企業、取引先を狙うことであります。従って、経済活動のチェーンに関係するすべての企業が同じレベルの評価、検査を行ない、同じレベルの対策を実施することが求められます。

ソリトンが提供するサプライチェーンセキュリティ調査は、2種類のコアサービスの組合せで行っています。一つは、調査実績の多い「漏洩アカウント被害調査サービス」(※)と補足するオプションサービス、もうひとつは、 サイバー空間上に公開されている組織のIT資産のリスクを調査するサービス、「外部公開IT資産リスク調査サービス」の２つです。

本サービスでは、攻撃者がターゲット組織を調べる際に用いるものと同じOSINT（OpenSource INTelligence）手法を採用、攻撃者目線でサイバー空間に存在する情報を収集することで、自社を含むサプライチェーン全体の外部に漏洩したパスワードを含むアカウント情報や、組織が保有する公開IT資産脆弱性などを明らかにし、リスクを発見するものです。

本サービスで、必要な情報はドメイン名もしくはIPアドレスのみです。対象は日本に限らず世界中どこでも調査することができます。また、この調査のあと、得られた情報／データを基に、具体的なサイバー対策の構築に関してコンサルティングサービス、および実装作業を提供することも可能となっております。

サプライチェーンリスク調査サービス

サプライチェーンすべての企業が、ほぼ同時期に、基礎調査を実施すること、また、定期的に継続してリスク評価を行うことをお勧めします。グループメンバーの数、規模に依存しますがグループ全体を対象とする価格設定、見積もりも可能です。

参考価格

・ベースとなる基礎調査、350万円～
　 １回の調査だけでなく、２回／月他の定期調査を推奨します。その場合、
■ 外部公開IT資産の管理ダッシュボード提供
・月次スキャン：年間240万円～／ドメイン
■ 専門家チームによる調査・監査サービス
・数10～数100のドメインの全調査
・2カ月程度：700万円～／報告書