国内導入実績
ImmuniWeb日本進出は2019年から。2023年までの4年間で国内では900社の導入実績があります。WEBアプリケーションからiPhoneアプリ、Androidアプリまで。WordPressサイト、コーポレートサイト、クラウドSaaS、クラウドERP、ネットバンク、証券アプリ、予約サイト、Eコマース、ソーシャルメディア、取引所アプリなど、多種多様な業界のシステムを診断してきました。
金融業界
ネットバンク、地方銀行ホームページ、クレジットカード会員ページ、仮想通貨取引所、決済API、保険など
ヘルスケア
健康保険データベース、診療報酬データベース、福利厚生データベースなど
官公庁
特許データベース、省庁監査データベースなど
情報通信・ソフトウェア
コミュニケーションアプリ、ソーシャルメディア、マッチングアプリ、SaaSなど
Eコマース
アパレルEC、建設資材EC、工場部品EC、電子書店など
旅行業界
チケット予約、航空券予約など
メディア・エンターテイメント
ニュースサイト、テレビ局コーポレートサイト、キャンペーンページ、動画ストリーミングサイトなど
インフラ(電力・水道・ガス・石油)
コーポレートサイト、発電所、BtoC電力使用状況課金管理アプリ、BtoB電力可視化アプリなど
化粧品・消費財メーカー
コーポレートサイト、ポイント会員サイト、店舗利用タブレットアプリなど
教育業界
学習塾、e-Learningアプリケーションなど
自動車・製造・重工業・産業機械・農業機械など
コーポレートサイト、サプライチェーン管理に利用する業務用アプリケーションなど
導入事例 竹中工務店×ImmuniWeb|HITSERIES®TLPT
AIにより人的業務の多くを自動化したことで 、より早く、より安く、より高品質な、脆弱性診断を実現
期間1/3、費用1/3を実現
Before 導入前の課題
●システムをオープン化するにあたり、セキュリティリスク対策の課題があった
●システムの脆弱性診断に時間がかかることが多く、その分利用開始が遅くなることが難点だった。
●システムの脆弱性診断に要するコストの低減も課題であった。
After 導入後の効果
●ImmuniWebによってシステムの脆弱性診断の工期が約1/3と短くなり、システムに関係するすべての業務がスピーディに進むようになった。
●ImmuniWebの脆弱性診断コストは従来比概ね1/3で、経費削減につながり、NIST SP800-171に沿って策定された社内ガイドラインを理想だけでなく、実践できるようになった。
●診断終了後の報告会での結果説明や、こちらからの質問に対して的確な回答をしてもらえることで、システム担当者からも信頼が得られた。
ImmuniWeb®︎3段アーキテクチャ
ImmuniWeb(イミュニウェブ)は脆弱性診断における作業を①ソフトウェア②AIテクノロジー③ヒューマンインテリジェンスの3つに分類し、これまで脆弱性診断において人間が行ってきた作業の90%をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しており、2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、60カ国に顧客を有します。2017 年には米 Gartner 社より Cool Vendor 選出、2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞、米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞しています。
なぜはやくて、やすい?ImmuniWeb AI
ImmuniWeb AIの秘密①
従来型の検査手法
従来型の検査手法では、パソコンに脆弱性診断用ソフトウェアをインストールし、インストールしたツールを通じて1つのIPアドレスから対象となるWEBアプリにアクセスしていました。1IPからのアクセスを基本とし、診断員が手動で診断しているため、1日に十数ページほどしか検査することができず、また、WEBサーバ、アプリケーションサーバ、データベース、APIを1つのツールで検査することが困難でした。
ImmuniWeb®︎の分散型検査手法
ImmuniWebは独自のデータセンターを保有しており、数百台のサーバを常時稼働させ、独自ITインフラ上でAI・ソフトウェア・チケッティングシステムなどを組み合わせた独自のシステムを有しています。検査時には最大250IPからの並列アクセスが可能であるため、1日あたり100万ページでも検査が可能で特にEコマースサイトでは真価を発揮します。100種類以上の脆弱性診断シナリオに対応できるプラットフォームとなっているため、ドメイン単位での検査範囲指定のみでWEBサ ーバ、アプリケーションサーバ、データベース、APIを1つのツールで同時に検査することが可能となっています。
なぜはやくて、やすい?ImmuniWeb AI
ImmuniWebの秘密②
ImmuniWebは従来型の脆弱性診断手法に比べて、3倍はやく、3倍やすく、高品質で安心なクラウドサービスを提供しています。従来型の脆弱性診断は、日本市場での人数の少ないセキュリティスペシャリストに大きく工数を依存するサービス提供方法でした。
従来の診断プロセス
診断対象範囲を決める見積フェーズで1ヶ月、契約・相見積・発注で2週間、検査で0.5ヶ月、誤検出チェックと報告書作成で1.5ヶ月、脆弱性の修正と再診断で1.5ヶ月と、少なくとも5ヶ月間は前後の開発リリースを延期する必要があり、スピード感を持って開発・リリースを繰り返す必要のある企業は課題を感じていました。
ImmuniWeb AIの診断プロセス
ImmuniWeb®︎はドメインやアプリを指定するだけでAIによるクローリング、優先順位づけをするため、2日で見積を提出することが可能です。また、費用は従来型がプロジェクト平均で100万円以上なのに対し、ImmuniWebはプロジェクト平均で約30万円であるため、部門決済で相見積もりをしなくても迅速な発注が可能です。また、検査はセキュリティスペシャリストとAI・ソフトウェア・RPAの組み合わせで効率化されており、報告書作成までは8日間です。過去の実績では、検査繁忙期の3月15日に問い合わせがあり、当日に見積、翌日には発注をいただき、3月27日には報告書を納品した例もあります。
なぜはやくて、やすい?ImmuniWeb AI
ImmuniWeb AIの秘密③
ImmuniWeb(イミュニウェブ)は2007年にスイスのジュネーヴにて創業され、金融機関や国際機関におけるセキュリティ検査実績をもとに2018年よりオンライン上でAIプラットフォームが無料公開されました。全世界で通算186,253,448件のテストを実施し、機械学習によるAIアルゴリズムと診断ワークフローを発展させてきました。数百台のサーバを同時稼働させることで、350件/秒、1日あたり10万件の検査にも対応することが可能です。AIによるデータ学習をすることで、脆弱性診断に関わるほとんどの工程を自動化し、競合製品よりも3倍はやく、3倍やすく、高品質なテストを実施することが可能となっています。(2021年7月末時点)
ImmuniWeb Community Editionによる24時間情報収集
ImmuniWeb®︎On-Demand|価格
ImmuniWeb®︎On-Demandは検査期間と検査人員に応じてWEBアプリケーションのドメイン単位で4つのプランを提供しています。見積比較で従来手法に比べて平均価格3分の1、最大10分の1のROIを実現しています。
※価格は2023年12月時点。為替変動や価格変更の場合がありますので最新価格はお問い合わせください。再診断は1アプリあたり10万円。
ImmuniWeb®On-Demand
Corporate Pro
¥809,290
単位:1ドメイン
- 日数:5営業日
- 人員:3名以上
ImmuniWeb®On-Demand
Corporate
¥525,290
単位:1ドメイン
- 日数:3営業日
- 人員:2名以上
ImmuniWeb®On-Demand
Express Pro
¥241,290
単位:1ドメイン
- 日数:1営業日
- 人員:1名以上
ImmuniWeb®On-Demand
Express
¥170,858
単位:1ドメイン
- 日数:1営業日
- 人員:1名
日本・米国・国際ガイドライン準拠
ImmuniWeb®︎では毎日のように膨大に更新されるセキュリティ診断ガイドライン、国際脆弱性報告規格、脆弱性診断手法をAIや機械学習によってプロセス化し、はやい、やすい、高品質なレポートを提供しています。
セキュリティ診断ガイドライン
・OWASP Web Security Testing Guide (WSTG)
・NIST SP 800-115 Technical Guide to Information Security Testing and Assessment
・PCI DSS Information Supplement: Penetration Testing Guidance
・MITRE ATT&CK® Matrix for Enterprise
・FedRAMP Penetration Test Guidance
・ISACA’s How to Audit GDPR
脆弱性報告国際規格
・OWASP Application Security Verification Standard (ASVS v4.0.2) Mapping
・Common Vulnerabilities and Exposures (CVE) Compatible
・Common Weakness Enumeration (CWE) Compatible
・Common Vulnerability Scoring System (CVSS v3.1)
脆弱性診断手法
・CWE/SANS Top25
・PCIDSS(6.5.1-6.5.10)
・OWASP Top 10
・AIソフト|セキュリティ専門家テスト
・機械学習応用テスト
・認証テスト (MFA / SSO)
・REST/SOAP API テスト
・ビジネスロジックテスト
・GDPRプライバシー機能レビュー