Loading...
FAQ2020-02-18T17:08:07+09:00

よくある質問

RayAegisの顧客にはどのような企業がありますか?2021-01-05T15:57:43+09:00

RayAegisのサービスは、日本や米国及び台湾の政府組織、銀行、金融機関、医療機関、電力会社、交通基盤システム、教育機関等、大手製造業などの、情報セキュリティを重視する幅広い分野のお客様にご利用いただいています。また、サービス提供にあたっては、お客様の個人情報を確実に保護するため、綿密な計画の制定、最高水準の暗号化ツールの使用、ISO 27001の認証の取得によって、お客様の機密情報の保護を徹底しています。その一環として、お客様との間で機密保持契約を締結しており、Webサイトおよびいかなる公的な場においても、お客様の名称と詳細を公開することはありません。

アンチウイルスソフトウェアを使用していれば、何も問題は起こりませんか?2019-10-20T12:53:58+09:00

アンチウイルスソフトウェアは一部の問題を解決できるだけで、十分に情報セキュリティを保護することはできません。例として、Webサイトがハッキングされる、またはデータが不正取得されるといった状況は、アンチウイルスソフトウェアでは防止できないことが多くあります。

クラウドを使用してデータを保存していれば安全ですか?2019-10-21T10:31:51+09:00

情報セキュリティは非常に広範囲に及ぶため、クラウドへの保存では一部の問題しか解決できません。以下はクラウドへの保存だけでは解決できない問題例です。
‐データが社内にある場合、悪意を持った従業員やハッカーは、電子メール送信やハッキング技術を利用して機密書類を取得することが可能です。
‐クラウドを利用しても、データの転送過程において安全な暗号化処理が施されていないと、インターネットを介して転送されるファイルは、悪意を持ったユーザに簡単に盗み取られてしまいます。
‐データをクラウドに保存する際にクラウドのプログラムまたはお客様のWebサイトやWebアプリケーションに脆弱性がある場合、ハッカーはお客様のデータやサービスに対して様々な攻撃を行い、データを取得することが可能です。

このため、すべてのプロセスにおいてデータの安全を確保することが最も適切な方法です。これは、単一のシステムや方法で簡単に成し遂げられるものではありません。

バックドア(backdoor)とは何ですか?2021-01-05T16:31:00+09:00

バックドアとは、コンピュータシステムに設けられた侵入口です。バックドアは開発時にテスト用に設けられることもありますが、一般には、悪意を持ったユーザが正規の認証手続きを踏まずに遠隔端末からシステムに侵入・利用することが可能となる悪質なものを指します。
不正なバックドアは以下のような手順で設置されます。
・怪しいプログラムをダウンロード→バックドア型トロイの木馬に感染
・不信メールの添付ファイルを開く→ウイルスに感染→バックドアの設置
・攻撃者が脆弱性を突いてシステムに不正侵入→バックドアの設置

バックドアを作られると、以下のような危険があります。
・DDoS攻撃や標的型攻撃の踏み台として利用される
・個人情報や機密情報を盗まれる
・本人が知らないうちに掲示板への犯行予告や犯行声明の書き込みなどが行われる

プログラムの脆弱性によって生じる問題にはどのようなものがありますか?2019-10-20T12:55:45+09:00

悪意を持ったユーザはプログラムの脆弱性を利用してシステムを攻撃し、攻撃を受けたコンピュータをコントロールして、どんな情報も取得することが可能です。例えば、Buffer Overflow Attack、SQL Injection、XSS等様々なタイプがあり、その多くはプログラミングの不備によって引き起こされるものです。台湾では、ハッカーに侵入されている“ゾンビコンピュータ”が非常に多く見られます。

私のシステムと機密ファイルには、こうした問題は見られないのですが、検査の必要がありますか?2019-10-20T12:55:51+09:00

システムに重大な脆弱性があり、機密が漏えいした後になってから、情報セキュリティ対策が不足していたことに気づく企業が多く見られます。気づいた時には既に、ビジネス上の機密、顧客情報、または財務報告表等の社内の機密書類が流出し、システムにはトロイの木馬が設置され、名誉、財務、法律に関わる重大な被害が引き起こされることが考えられます。
既に侵入されていることに気づいていない企業が多く見られるため、被害に遭ってから修正を行うよりも、事前に防止対策を確立することが重要になります。

多層防御(defend in depth)とは何ですか?2019-10-20T12:56:13+09:00

多層防御とは、より安全な防御措置を提供するために確立された概念です。例として、ハッカーが総当り攻撃を利用して、お客様のシステムの中からIDとパスワードを取得しても、システム管理者が遠隔端末からは接続できないように事前に防御していた場合、ハッカーが取得するIDとパスワードはシステム管理者のものではなく、一般ユーザのものとなります。このような対処により、通常一般ユーザには不正プログラムを設置する権限がないため、システムのリスクを大幅に下げることができます。モニタリングソフトウェアをインストールしていれば、ハッカーがIDを取得して侵入していることを短時間内に発見し、適切な処置を行うことができます。

なぜ脆弱性診断だけでなく、ペネトレーションテスト(イントラネット、エクストラネットを含む)を実施する必要があるのですか?2021-01-05T16:33:02+09:00

ペネトレーションテスト脆弱性診断の最大の違いは、ペネトレーションテストは多くの人手と時間を必要とし、自動化されたツールでは検出できない脆弱性を発見できることです。
先日、ツイッター(Twitter)のデータベースが複雑な侵入方法による攻撃を受けました。関連ニュースはこちらから確認することができます。
サービス紹介のページでRayAegisの脆弱性診断とペネトレーションテストの説明をご覧ください。

以前、脆弱性診断を受けたことがあるので、もう問題はありませんか?2021-01-05T16:34:13+09:00

各ツールには適用範囲に大きな制限があり、日々新しい脆弱性が発見されているため、専門家でないと情報セキュリティの問題を効果的に処理することは極めて難しいことです。例えば、日本企業A社は、専門家による脆弱性診断を受けたにもかかわらず、ハッカーに侵入され、経済的および信用上の膨大な損失を被り、法律上の問題が生じました。また脆弱性の中には、現在市場にある自動化されたツールでは検出できない重大な脆弱性や複合型の攻撃もありますので、厳密に脆弱性を調べるには、ペネトレーションテストの実施をお勧めします。

更新したWebページだけを診断していれば十分ですか?2021-01-05T16:38:25+09:00

いいえ。日々新しい脆弱性が発見されているため、更新した部分だけではなく、Webアプリケーションやシステム全体を定期的に診断する必要があります。
更新部分のみの診断ではこの種の問題が発見できないだけでなく、日々のメンテナンス等による設定変更や動作仕様の考慮漏れといった人的要因による脆弱性も発見できません。
日本の一般的なセキュリティ診断ではリクエスト数で費用が算出されるサービスが多数ですが、RayAegisでは定期的な診断をWebアプリケーションやシステム全体に対して実施いただけるよう、脆弱性診断ペネトレーションテストの両方でサブドメイン/FQDNあたりのパッケージ型価格体系を採用しており、最適なコストで網羅的なセキュリティ診断をご提供しています。

サブドメイン/FQDN単位のパッケージ型価格体系のメリットは何ですか?2021-01-05T16:53:11+09:00

日本の一般的なセキュリティ診断ではリクエスト数で費用が算出されるサービスが多数ですが、RayAegisでは定期的な診断をWebアプリケーションやシステム全体に対して実施いただけるよう、脆弱性診断ペネトレーションテストの両方でサブドメイン/FQDNあたりのパッケージ型価格体系を採用しています。
この先進的な価格体系は、RayAegisが独自開発しているAIツールによる自動化やセキュリティエンジニアの効率化支援機能により実現しています。

日本企業ではコスト上の課題から診断対象箇所を制限して診断する慣習がありますが、パッケージ型価格体系であれば、対象を選定する手間も不要となり、かつシステム全体を定期的に診断することで網羅的にセキュリティを維持・改善することが可能です。

なぜRayAegisでは高速なセキュリティ診断が繁忙期でも受託可能なのですか?2021-01-05T16:29:38+09:00

RayAegisの提供する脆弱性診断では、数百リクエスト数以上に及ぶ大規模なECサイトやインターネットバンキングシステムなども含む、ほとんどのWebアプリケーションで3~5営業日以内に診断作業を完了しています。
これは、RayAegisのが独自開発しているAIツールによる自動化と効率化によるものですが、グローバルで250名を超えるハイレベルなセキュリティエンジニアがこのAIツールを活用することで、多数の診断プロジェクトを効率的かつ高速に対応しています。
これにより、繁忙期でも非常に多数の診断業務を実施することができており、月間数百件以上のプロジェクトで安定したサービスを提供しています。(2020年12月現在)