一度きりのスキャンでは、過去の脆弱性しか発見できません。
CrowdStrike FEMによるエンドポイント全体の継続的監視。月次レポート、四半期ごとの詳細スキャン、専門家による修復ガイダンスを提供。月額4,999ユーロから。
ご相談
現状
ペネトレーションテストは、ある時点でのスナップショットに過ぎません。新しいデプロイ、依存関係の更新、設定変更のたびに、新たな脆弱性が生まれ、継続的に蓄積されていきます。
数字で見る実態
継続的なスキャンなしでは、侵害検知までの平均期間は197日(IBM Security, 2024)。
中小企業の60%が、継続的な脆弱性監視を実施していません(Gartner, 2024)。
サイバー攻撃の43%が中小企業を標的としています(Verizon DBIR, 2024)。
データ侵害による平均損害額は490万ドル(IBM Security, 2024)。
見過ごされているリスク
最後のペネトレーションテストは、実施されたその日だけ有効でした。それ以降、新しいコードのデプロイ、依存関係の更新、設定変更が行われ、攻撃対象領域は変化しています。継続的な監視がなければ、攻撃者によって脆弱性が発見されるまで、その存在に気づくことはできません。
把握できること
エンドポイント全体で継続的に検出される、あらゆる脆弱性。
すべてのエンドポイントデバイスとワークステーションで、常に稼働するエージェントベースのスキャン。
深刻度別に優先順位付けされた、月次外部スキャンレポート。
毎月提供される、最初に修正すべき項目を明確にしたアクションリスト。
トレンドデータを含む、四半期ごとの詳細スキャン分析。
過去のリスクトレンド、新規発見項目と解決済み項目、セキュリティ態勢の推移。
セキュリティ態勢をリアルタイムで可視化するリスクダッシュボード。
深刻度別の未解決脆弱性、時間経過に伴う修復進捗。経営層への報告にも対応。
サービスの流れ
導入
エンドポイントへのCrowdStrike FEMエージェントのインストール。ネットワークのホワイトリスト設定確認。技術リードのアサイン。
監視
24時間365日体制の自動スキャン。エンドポイント全体で、新しいCVEをリアルタイムで照合。
報告
月次外部スキャンレポートの提供。トレンドデータを含む四半期ごとの詳細スキャン分析。
修復
次回のスキャンサイクルまでに、重大および高リスクの発見事項をクローズするための、専門Blue Teamによる修復ガイダンス。
サービス範囲
提供内容
対象となるすべてのエンドポイントへのCrowdStrike FEMエージェントのデプロイ。
外部および内部環境に対する、24時間365日体制の継続的なスキャン。
CVSSスコアとビジネスへの影響度に基づき優先順位付けされた、月次外部スキャンレポート。
内部および外部環境に対する、トレンドデータを含む四半期ごとの詳細スキャン分析。
セキュリティ態勢と修復進捗を常に最新の状態で可視化するリスクダッシュボード。
Blue Teamの実務家による、専門的な修復コンサルティング。
対象外のサービス
侵入テスト(Webアプリケーションペネトレーションテストを参照)。
クラウドインフラストラクチャ評価(クラウドセキュリティアセスメントを参照)。
アプリケーションコードレビュー、またはアーキテクチャの再設計。
インシデントレスポンスまたはフォレンジック(別途契約にて提供可能)。
担当者
Phuoc Pham, セキュリティエンジニア
侵入テストおよび脆弱性調査。OSWE認定、Synack Red Team Level 4の資格を持つRed Teamスペシャリスト。WebアプリケーションセキュリティとCVE調査に注力。
専門分野
Webアプリケーションペネトレーションテスト(ホワイトボックス、グレーボックス、ブラックボックス手法)。脆弱性調査およびCVE発見。Java、.NET、PHP、JavaScriptにおけるセキュアコードレビュー。APIセキュリティテストおよびビジネスロジック悪用シナリオ。概念実証(PoC)エクスプロイト開発と修復ガイダンス。
業界経験
政府機関。金融。エンタープライズテクノロジー。SaaS。
実績
Synack Red Team Level 4として、常に高深刻度の脆弱性を発見。国内規模の金融機関向けアプリケーションのホワイトボックスセキュリティ評価を主導し、修復後の重大な発見事項はゼロ。複数のCVEを特定し、責任ある開示を実施。
Gradionを選ぶ理由
CrowdStrike FEM:最高水準のツール
CrowdStrike Falcon Exposure Management。企業や政府機関が信頼を寄せるプラットフォームです。オープンソースのスキャナーとは一線を画します。
Blue Teamの専門家による知見
全てのスキャン結果は、防御セキュリティの専門家が精査。ノイズを除去し、真のリスクを優先順位付け。お客様のチームが「何を」「まず」修正すべきかを明確に提示します。生のCVEリストをそのままお渡しすることはありません。
監査対応のエビデンス
月次レポートと四半期分析は全て、NIS2、ISO 27001、SOC 2の監査証跡に対応した形式で提供。お客様のコンプライアンスチームは、追加の労力なく必要なエビデンスを入手可能です。
マネージド脆弱性アセスメント
固定料金。追加費用なし。
月額制
継続的な監視。月次レポート。四半期ごとの詳細スキャン。最低50エンドポイントから。
- CrowdStrike FEMエージェント導入
- 24/7 継続スキャン
- 月次外部スキャンレポート
- 四半期詳細スキャン分析
- リスクダッシュボード
- 専門家による対策コンサルティング
よくあるご質問
半年前にペネトレーションテストを実施しましたが、これで十分でしょうか?
ペネトレーションテストは、ある時点でのスナップショットに過ぎません。新しいデプロイ、依存関係の更新、設定変更のたびに、新たな脆弱性が生まれます。マネージド脆弱性アセスメントは毎月実行され、新たなリスクの発生を検知します。
50エンドポイントに満たない場合でも利用できますか?
最低エンドポイント数は、CrowdStrike FEMエージェントモデルの構造によるものです。もし、その数に近い、または今後増加する見込みがある場合は、ぜひお問い合わせください。お客様の現在の環境に最適なソリューションを検討いたします。
社内のITチームがすでに脆弱性スキャンを実施しています。
内部スキャンは基礎的なものですが、防御セキュリティの専門家によるレビューは稀です。また、コンプライアンスフレームワークが要求する監査証跡のエビデンスを生成することはほとんどありません。当社のサービスでは、専門家による人的レビューと、コンプライアンス対応形式のレポートを提供します。
事業規模が拡大した場合の料金体系はどうなりますか?
エンドポイントごとの料金は、お客様のビジネス規模に合わせて変動します。大規模な環境ほど、エンドポイントあたりの料金は低く設定されます。デバイスを追加しても、再交渉は不要です。
次のステップ
マネージド脆弱性アセスメントは、Gradionのあらゆるサイバーセキュリティサービスと自然に連携します。ペネトレーションテスト、セキュリティ強化、コンプライアンスレビューの後に、継続的な監視レイヤーを提供します。
Webアプリケーション向けには、Web App Penetration Test(EUR 4,999-6,999)が、ある時点での詳細なアセスメントを提供します。クラウド向けには、Cloud Security Assessment(EUR 5,999-6,999)がインフラ層をカバーします。
30日前通知でいつでもキャンセル可能。契約期間の縛りはありません。
マネージド脆弱性アセスメント:EUR 5,000/月
フォームにご記入ください。48時間以内に、担当者が空き状況とスコープを確認しご連絡いたします。
- お約束は不要。営業目的の勧誘もありません。
- 48時間以内にご返信
- シニア担当者が対応