ImmuniWeb®︎|イミュニウェブ
HITSERIESではCICD/SREにImmuniWebを組み込んでいます。
HITSERIES®︎TLPT
ImmuniWeb (イミュニウェブ)は、2007 年にスイスで創業されたHighTechBridgeから2019年にカーブアウトにより設立されたアプリケーションセキュリティテストのAIクラウドプラットフォームです。ImmuniWeb創業者のDr. Ilia KolochenkoはアメリカワシントンD.Cの弁護士であり、複雑で膨大な情報が更新されるアプリケーションセキュリティ分野をシンプルなAIプロセスで問題解決することをその設計思想としています。従来1ヶ月かかっていたWEBサイトの脆弱性診断を3日間で安価で完了させるAIとRPAを強みとしています。米国、EU、日本を含むコンプライアンスに準拠し、60カ国で利用されています。Tanaakk株式会社は東アジア、日本地域におけるImmuniWeb公式パートナーです。
ImmuniWeb®︎Discovery
ImmuniWeb®︎Discovery(イミュニウェブディスカバリ)は企業名をキーワードとし、インターネットから250種類以上のデジタルアセットを発見し、24時間モニタリングするサービスです。1000種類のコンプライアンス・セキュリティ設定チェックと、750種類のパラメータによるリスク評価、2500種類のダークウェブやディープウェブチャンネルからの情報収集により、企業のセキュリティリスク評価を容易にします。
LINK
ImmuniWeb®︎On-Demand
ImmuniWeb®︎On-Demand(イミュニウェブオンデマンド)はWordpressサイト、上場企業グループコーポレートサイト、Eコマースサイト、ソーシャルメディア、受発注業務システム、ネットバンキング、マッチングプラットフォーム、仮想通貨取引所などのWEBアプリケーションを最大195台のAI学習済みサーバで並列処理し、従来1ヶ月以上必要とされていた脆弱性診断を2−5営業日で完了させるサービスです。
LINK
ImmuniWeb®︎MobileSuite
ImmuniWeb®︎MobileSuite(イミュニウェブモバイルスイート)はiOSアプリやAndroidアプリの脆弱性をAI学習済みのプラットフォームで自動検査することで、従来1ヶ月以上必要とされていた脆弱性診断を2−5営業日で完了させるサービスです。ニュースメディア、ネットバンク、マッチングプラットフォーム、仮想通貨取引所などのアプリで実績があります。フロントエンドアプリと、バックエンドWEBアプリ、API、SSL、WEBサーバ、DBサーバの複合テスト(SAST、DAST、IAST、SCA)を短期間で完了させます。
LINK
ImmuniWeb®︎Continuous
ImmuniWeb®︎Continuous(イミュニウェブコンテニュアス)はWEBアプリケーションの開発組み込みを目的とした継続的セキュリティ検査クラウドです。オンデマンドと同性能の機能で24時間モニタリングできるため、開発工程におけるセキュリティ検査への組み込み(DevSecOpsやCI/CD)に適しています。発見された脆弱性はF5,Imperva,Barracuda,Fortinet,QualysなどのWAFと連携することが可能です。開発ツールとの連携に関してはJira、HP ALM、Splunk、Github、Servicenowなどの連携が可能です。
LINK
ImmuniWeb検査実績
ImmuniWeb(イミュニウェブ)は2019年2月の国内学習塾のWEBサイトでの初検査から、日本において1000社を超える企業のアプリケーションセキュリティテストを効率化してきました。
ImmuniWeb国内検査実績
2019年 28件
2020年 127件
2021年 154件
2022年 241件
2023年 188件
2024年 300件
(累計1000件)
ImmuniWeb顧客業界
官公庁、独立行政法人
クレジットカード、地方銀行、保険
SaaSサービス、Eコマース、ネット書店
自動車、製造、建設
電力、ガス、水道、石油
農業機械
ヘルスケア
小売、旅行
教育、学習塾
メディア、印刷、広告
導入事例 竹中工務店×ImmuniWeb|HITSERIES®TLPT
AIにより人的業務の多くを自動化したことで 、より早く、より安く、より高品質な、脆弱性診断を実現
期間1/3、費用1/3を実現
Before 導入前の課題
●システムをオープン化するにあたり、セキュリティリスク対策の課題があった
●システムの脆弱性診断に時間がかかることが多く、その分利用開始が遅くなることが難点だった。
●システムの脆弱性診断に要するコストの低減も課題であった。
After 導入後の効果
●ImmuniWebによってシステムの脆弱性診断の工期が約1/3と短くなり、システムに関係するすべての業務がスピーディに進むようになった。
●ImmuniWebの脆弱性診断コストは従来比概ね1/3で、経費削減につながり、NIST SP800-171に沿って策定された社内ガイドラインを理想だけでなく、実践できるようになった。
●診断終了後の報告会での結果説明や、こちらからの質問に対して的確な回答をしてもらえることで、システム担当者からも信頼が得られた。
ImmuniWeb®︎AI Platform
膨大な作業工程をAIで代替
ImmuniWeb(イミュニウェブ)は脆弱性診断における作業を①ソフトウェア、②AI、③専門家作業の3つに分類し、これまで脆弱性診断において人間が行ってきた作業の90%をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。
脆弱性報告規格に準拠
国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しています。
全世界60カ国の顧客基盤
2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、全世界60カ国に顧客を有しています。
国際的な受賞歴
2017 年には米 Gartner 社より Cool Vendor 選出。2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞。米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。
各国法令に準拠
EU GDPR、米HIPAA、NIST SP800、PCI DSS、FTCA,GLBA,FCRA/FACTA,NewyorkSHIELD、NYDFS、CaliforniaCCPA,CPRA,Singapore PDPA,Singapore MAS, Hongkong PDPO, Brazil LGPD, India IT Act, South AfricaPOPIAなど
日本における受賞歴
日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞。
CREST及びISMS準拠
ImmuniWebは国際的に最も厳しい規格の一つであると言われる英国CRESTに準拠した企業です。
専門家とAIの分業モデル
ImmuniWeb(イミュニウェブ)は脆弱性診断における作業を①ソフトウェア②AI機械学習③専門家作業の3つに分類し、これまで脆弱性診断において人間が行ってきた作業の90%をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しており、2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、60カ国に顧客を有します。2017 年には米 Gartner 社より Cool Vendor 選出、2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞、米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞しています。
ImmuniWeb SAは、2007 年にセキュリティエンジニアである Ilia Kolochenko 氏により創業されて以来、ヒューマンインテリジェンス(HI)とアーティフィシャルインテリジェンス(AI)の新たな分業モデルの定義に挑戦しています。
安全・安価・素早い検査でDevSecOpsを実現
ImmuniWebは2007年にスイスで創業されて以来、クレディアグリゴルのような大手銀行の社内アプリケーションやインターネットバンキングアプリで高いセキュリティが求められる環境で脆弱性診断プラットフォームおよび業務プロセスを自動化してきました。ImmuniWebの分散型プラットフォームは、『どうすればebay(イーベイ)のような商品点数が1億点以上存在するEコマースアプリケーションの膨大な脆弱性診断対象ページと診断項目を与えられた制限日数内で評価できるのか?』という難題から生まれています。
日本国内においては日英バイリンガルのプロジェクトマネージャーを中心として、弁護士監修の元、安全・安価で素早い作業を提供しています。
ImmuniWeb®︎データ収集
ImmuniWeb®︎(イミュニウェブ)は2007年からのセキュリティ検査実績をもとに2018年よりオンラインでのセキュリティ検査プラットフォームをインターネット上で無料公開し機械学習によるAIアルゴリズムと診断ワークフローを発展させてきました。同時並行で350件/秒、1日あたり10万件、通算186,253,448件のテストを実施し、AIによるデータ学習をすることで、脆弱性診断に関わるほとんどの工程を自動化し、競合製品よりも3倍はやく、3倍やすく、高品質なテストを実施することが可能となっています。(2021年7月末時点)
4つのFreeAssesmentPlatform
『SSL Security Test』(WEBサイトSSL設定テスト)
『Website Security Test』(WEBサーバ・ヘッダーセキュリティテスト)
『Darkweb Exposure Test』(ダークウェブ・フィッシングサイトテスト)
『Mobile App Security Test 』(モバイルフロントエンドOWASP TOP10テスト)
Website Security Test
- Website CMS Security
- WordPress & Drupal
- CSP & HTTP Headers
- GDPR & PCI DSS
WEBサイト
1日33,441URL
通算65,236,607URL
検査学習済
SSL Security Test
- Web Server SSL
- Email Server SSL
- SSL Certificate
- PCI DSS, HIPAA & NIST
WEBサイトSSL設定
1日62,763URL
通算89,268,163URL
検査学習済
Mobile App Security Test
- OWASP Mobile Top 10
- 静的・動的スキャン
- プライバシー取得機能
- iOS or Android
iOS/Androidアプリ
1日544アプリ
通算747,805アプリ
検査学習済
Dark Web Exposure and Phishing Detection Test
- フィッシングサイト
- ドメイン転売防止
- ダークウェブ漏洩
- トレードマーク不正利用
ドメイン不正利用調査
1日3,776URL
通算29,191,940URL
検査学習済
AIセキュリティ検査の流れ
アプリケーションビジネスを推進する上でセキュリティ体制構築と定期的な検査の標準的な流れです。
1
セキュリティ基本計画の策定
情報システム予算(金融を除く業界平均年商比率1.5%)と言われる中でセキュリティ予算は情報システム予算の10%がベンチマークとされています。
2
セキュリティ体制の運用
ISO27001(情報セキュリティマネジメントシステム)Pマーク、NIST CSFやそれに準ずるITガバナンス体制の運用。
3
セキュリティ検査計画の策定
情報資産リストから検査対象アプリケーションやネットワークを規定します。重要システムであれば四半期に1回、WEBサイトでは年1回の検査が推奨されています。
4
事前準備シートに沿った検査環境準備
年次検査を実施します。Tanaakkでは確認項目の多いセキュリティ検査について事前準備シートを用意し、プロジェクトマネージャによる確認を行います。
5
セキュリティ検査実施
ImmuniWebによる検査を実施。ImmuniWebが使用できないような制限されたネットワーク内の検査については手動で各種ツールを用いた検査を実施します。
6
報告書提出
発見された脆弱性について、国際基準に則った報告を実施します。(CVE,CWE,CVSSなど)
7
報告会の開催
セキュリティエンジニアが報告会を実施。アプリケーションの修正方法についてのアドバイスを提供します。
8
脆弱性の修正
発見された脆弱性について、コーディング修正やプロセス改善による改善を実施します。
9
再診断
脆弱性を修正した後は再診断を実施します。重大な脆弱性について修正が完了次第検査プロジェクトの完了となります。
セキュリティ診断の分類
セキュリティ診断には大きく分けてモバイルアプリケーション、WEBアプリケーション、プラットフォーム、ITインフラストラクチャの4種類の脆弱性診断に分類できます。企業のデジタルリスクのストレステストとして、TLPT(脅威ベースのペネトレーションテスト)を実施する場合には以下4種類の診断範囲やメールサーバなど診断対象が複合します。
サイバーセキュリティガバナンスの実現
企業規模に応じたサーバーセキュリティストラクチャを提供。企業経営のリスクとリターンの観点からセキュリティを捉え直し、全社セキュリティガイドラインの策定やISO27001との連携、サイバー保険による保全やセキュア開発の導入など、AIセキュリティ検査に止まらない包括的なコンサルティングを提供しています。
HITSERIES×ImmuniWeb
重要インフラ産業(銀行、自動車、製造工場)におけるクラウドセキュリティ要求に対応するため、HITSERIES CICD/SREにImmuniWebを組み込み
導入前の課題(Before)
ーセキュリティベンダーに脆弱性診断やセキュリティ評価を見積依頼すると、見積もりからプロジェクト開始まで数ヶ月かかり、費用も高額であり事業成長のボトルネックになっていた。
ー既存事業とは守るべき法令対象や個人情報の対象が違う中で、契約上顧客や事業パートナーとどこまでの責任分担をすべきかが不明瞭であった。
ー新規事業でベンダーに言われるがままセキュリティ投資をしているとコストばかりが増えてしまうことに課題があった。場当たり的な対応ではなく、計画的なガイドラインや調達方針をもつ必要があった
導入後の成果(After)
ガイドラインや組織を整備し、計画的なセキュリティ調達が可能に。基本的な防御は24時間モニタリング。定期的な検査のスピードも数週間で済むように。脆弱性診断関連コストは3分の1に。
クラウドセキュリティベストプラクティス
1.ガイドラインの制定
事業の安全性を目的としてグループセキュリティガイドラインの策定、ISO27001を導入など
2.クラウド契約責任分解範囲の整理
法律専門家による裁判判例や個人情報保護法令の見解提示。クラウドベンダーや販売代理店、法人顧客、最終消費者間のデータ保持に関する責任分解点の体系化。
3.基礎的な防御インフラを実装
デプロイルームをセキュリティルーム化。Microsoft EntraID(旧ActiveDirectory)による権限レイヤーの体系化、Microsoft Intuneによる開発端末の管理。Microsoft Defenderによる防御、Microsoft Sentinelによる脅威分析。
4.定期診断の実施
ImmuniWebによる年に1回の定期診断を実施。目的に応じてNessusやBurpSuiteなども利用
ペネトレーションテスト|市場規模と成長性
世界のペネトレーションテストの市場規模は2021年の16億米ドルから、2026年には30億米ドルの規模に成長すると予測されています。(CAGR 13.8% MarketsandMarkets調べ)
・定期的なテストの実施を義務付ける厳格な規制
・コンプライアンスの増加
・サイバー攻撃による企業の財務的損失や風評被害の増加
・インターネットの普及率の増加
・スマートフォンの使用率の増加
PTaaS(Penetration Testing-as-a-Service)
PTaaS(Penetration Testing-as-a-Service)はAIプラットフォームを中心とし、従来のペネトレーションテストモデルに、ワークフローを効率化するコラボレーション技術が加えられています。PTaaSの用途別では、ウェブアプリケーションの部門が期間中最大のシェアを示すと予測されています。