FS Document
- 4.  4 ボードメンバー 井手 康貴 代表取締役CEO 上野 宣 社外取締役 1996年生。東京大学文科二類に入学後、経済学部に進学。 18歳選挙権の成立に携わるなど政治活動を行なっていたが、政治から世の中を 動かすことに限界を感じビジネスで世の中を変革することを志す。 大学入学後FiNC(現FiNC Technologies)、メルカリでのエンジニア経験を経 てFlatt Securityを創業。テクノロジーを軸に世界に愛されるプロダクト作りを 目指している。アパレルのライブコマースサービス及びD2Cブランドの事業売 却経験がある他、エンジニアとしては豊富なサーバーサイドの開発経験を有 し、Googleが開発するGo言語のContributerでもある。 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、2006年に株式会社ト ライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネト レーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。 OWASP Japan 代表、一般社団法人セキュリティ・キャンプ協議会 GM、 ScanNetSecurity 編集長、情報処理安全確保支援士 カリキュラム検討委員 会・集合講習講師、Hardening Project 実行委員、SECCON 実行委員、日本 ハッカー協会理事、東京2020オリンピック・パラリンピック競技大会向け実践 的演習「サイバーコロッセオ」推進委員などを務める。 (ISC)²が発表した第11回アジア・パシフィック情報セキュリティ・リーダーシッ プ・アチーブメント(ISLA)を受賞 主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド - 上 野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさ いWebセキュリティ』、『今夜わかるシリーズ(TCP/IP , HTTP , メール) 』など 他多数
- 8. Flatt Securityの診断の特徴① 実績あるエンジニアだからこそできる手動診断 弊社の取締役であり OWASP JAPAN 代表でもある上野宣によるアドバイスのもと脆弱性診断を設計しています。東京大学発サイバーセキュリティ企 業という出自の通り東京大学出身・在籍のエンジニアが所属しており、さらに DEFCON Finals に出場するなど国内外の CTF で実績を残している エンジニアたちがツールを使った自動診断に併せて、社内で標準化された診断基準に知識と経験を活かした手動診断を行うことで網羅的に診断しま す。加えて、診断担当者とは別のエンジニアが再度診断のレビューを行うことで品質を高めます。 柔軟なコミュニケーション対応 セキュリティ診断では専門知識の理解や実施にあたっての適切な環 境の用意、アカウント・権限の割り当てなどが必要になり、円滑な コミュニケーションが肝要です。Flatt Security の診断ではお客様の ご要望に応じてメールだけではなく Slack でも連絡することが可能 です。診断に関しての事前のご相談などは Facebook Messenger で の連絡も対応可能です。 オーダーメイドでの診断提案 Flatt Security の Webアプリ診断では、リクエスト数に応じてお見 積もりを行います。また、ご予算やスケジュールの事情にあわせ て、リクエストごとの優先度付けを行い、柔軟に診断プランをご提 案することも可能です。さらに、多岐にわたるご要望や、特殊な要 件が含まれる場合でも、経験豊富なエンジニアの知識に基づき適切 な診断プランをご提案いたします。 充実のアフターサービスで診断後も安心 セキュリティ診断の報告書の提出から1ヶ月後までは*無償で再診断 を行わせていただき、診断後の改修までサポートします。また、診 断枠を事前にまとめて購入できるチケット制も提供可能なため、診 断後の新機能の追加やアップデートなどの小規模の診断もご相談く ださい。 *無償での再診断は一定の条件がございます。 わかりやすい報告書と的確な対策提案 診断結果は、ツールによる自動診断とエンジニアによる手動診断の 結果を精査し、独自フォーマットの報告書にまとめて納品します。 再現方法・対策方法・参考資料まで含めて丁寧に記載します。脆弱 性の再現方法はお客様が脆弱性を再現しやすいように手順を詳細に 記載します。さらに現場での開発経験豊富なエンジニアにより、わ かりやすく的確な対策方法を提案させていただきます。
- 9. Flatt Securityの診断の特徴② 経済産業省が定める基準に適合したサービス Flatt SecurityのWebアプリケーション診断・プラットフォーム診断・ス マートフォンアプリケーション診断は、経済産業省が定める「情報セキュ リティサービス基準」に適合したサービスとして登録されています。 「情報セキュリティサービス基準」は、情報セキュリティサービスに関す る一定の技術要件および品質管理要件を示し、品質の維持・向上に努めて いる情報セキュリティサービスを明らかにするために設けられました。 019−0045−20  9 脆弱性リサーチプロジェクトが示す技術力 Flatt Securityはインターネット上で利用可能な様々なソフトウェア、ハー ドウェアの脆弱性を調査する「脆弱性リサーチプロジェクト」を継続して 実施しています。Flatt Securtiyで実際に診断を行うエンジニアの高度な能 力により、プロジェクト開始半年でLinuxやQEMUに関する脆弱性を含む 58個の脆弱性を報告しています。 そして、これらの解析で培った技術を診断業務へフィードバックしサービ ス品質向上に努めています。
- 11. 診断の流れ 診断準備 NDA締結と事前ヒアリングを行い最適な 診断プランをご提案します。お見積りに 同意後、契約を締結させていただきま す。 診断対象のヒアリング 診断対象の仕様や診断内容への期待を伺うこと で、最適なご提案を行います。 対象のサービス概要、規模感、環境、ご希望納期 などをお伺いします。 お見積もり (Flatt Securityにて) 環境、仕様書、画面遷移図などをご用意頂きま す。こちらを元にリクエスト数や対象の調査を 行い、お見積もりを作成します。設計書やルー ティングをベースとした机上でのお見積もりも 可能です。 診断 用意いただいた診断環境に対して診断を 実施します。診断結果は診断完了後に報 告書にまとめ納品しますが、特に緊急性 の高い脆弱性が検出された場合には簡易 的な速報を行うことも可能です。 診断環境準備 (診断依頼企業様にて) 貴社にて診断環境をご用意いただきます。 ステージング環境やテスト環境など、本番同様の 診断環境をご用意ください。 診断開始 (Flatt Securityにて) セキュリティエンジニアが専用のツールと手動 での診断を組み合わせて、網羅的に診断しま す。 診断実施後 診断が完了後、診断結果をまとめた報告 書をpdfにて納品致します。是非改修にお 役立てください。また、報告書の納品か ら1ヶ月以内であれば再診断を無償で実施 致します。 * 無償での再診断が適用されない診断対象もございます。 報告書納品 (Flatt Securityにて) 報告書では診断した項目から対象のセキュリティ 対策状況を5段階で評価します。 また、検出された脆弱性毎に、達成した攻撃の再 現方法、攻撃によるリスクおよび対策方法を詳し く記載します。 再診断 (Flatt Securityにて) 報告書の納品から1ヶ月以内は再診断を無償でご 提供いたします。発見された脆弱性を貴社にて 改修していただいた後、適切な改修が行われて いるかを弊社で確認します。 1 2 3
- 13. Webアプリケーション診断プラン Standard OWASP Top 10 を基準に診断します ホワイトボックス形式 でOWASP Top 10を基準に診断します 診断手法 ホワイトボックス 診断項目 Standardプランと同様の項目をソ ースコードやシステムの設計、仕様書などを提 供していただき、それらの分析を通して診断を 行います。 ブラックボックス診断では検出が難しいロジッ クの不備や仕様の不備を検出することに長けて います。 診断手法 ブラックボックス 診断項目 入出力処理・認証・認可・セッショ ン管理・一般的な脆弱性・仕様や設計の不備や 脆弱性・クライアントサイドのセキュリティチ ェックなどを、ソースコードや内部的な実装を 知り得ない第三者の視点でOWASP Top 10を基 準に当社独自の診断項目を追加して高い精度の 診断を提供します。 Professional OWASP Top 10 とは OWASP*が発行する、Webアプリケーションにとって最も重大なセキュリティリスクをまとめたドキュメント。 *OWASP…Webアプリケーションを始めとするソフトウェアのセキュリティ環境の現状や、安全なソフトウェア開発を促進する技術に関する情報共有と普及啓発を 目的としたプロフェッショナルが集まる世界的なオープンソースソフトウェアコミュニティ。
- 14.  14 料金について(税抜) Webアプリケーション診断 ➕ 診断結果の報告書作成 0円 ➕ 1 2 3 貴社改修後の再診断 0円(報告書納品から1ヶ月以内かつStandardプランに限ります) Standard requestあたり料金 × request数 Professional 要見積もり
- 15.  15 料金について リクエストとは? ボタンを押してページが変わったり、入力が確定するなどしてサーバーとの通信が発生することをリクエストと言います。 私たちは、リクエスト数、つまりサイト内で通信が起こりうる箇所の数を基準にお見積もりしています。 お見積もりは無料でさせていただきますが、リクエスト数=画面遷移数で計算しても概算が可能です。 例 1 画面遷移する際 例 2 画面遷移はしないが通信結果を表示する際 基本的に、ページ遷移のたびにリクエストが発生するので 大まかなリクエスト数は計算することができます コメントや検索など、ページ遷移が行われていなくても リクエストが発生するパターンがあります
- 17. iOS/Androidアプリケーション診断プラン Minimum 設定値の確認などの表層的な解析*1に加え、 一般的に脆弱性が発生しやすい通信やデータ の暗号化に関する診断を主に行います。 発見される脆弱性の例 証明書検証不備等による通信の傍受 不要な情報の外部送信 データの暗号化設定 等 *1 iOS/Androidアプリケーションにおいて一般に 注意すべきとされている項目(共通のセキュリティ 設定や、機能の公開設定等)を確認します。 Standard 全てのプランで対象となっている診断項目に 加え、悪意を持った第三者による能動的な攻 撃の施行をブラックボックス診断*1にて行い ます。 発見される脆弱性の例 外部からの攻撃による情報の改竄・漏洩 WebView実装不備による機能の不正利用 制限付き機能の 回 等 *1 アプリケーションの内部の挙動を解析せずに、 外部から観測できる挙動を元に診断すること。 Professional 通常(Minimum・Standard)の診断項目に加 え、高度な専門知識を有する診断員独自の観 点等によって対象のアプリケーションを診断 いたします。特殊な診断対象や要望などにも 柔軟に対応いたします(ホワイトボックス診断 *1やリバースエンジニアリング*2等)。 発見される脆弱性の例 ホワイトボックス診断で発見する潜在的な脆 弱性 リバースエンジニアリングで発見する独自仕 様の脆弱性 ソフトウェアの仕様上の脆弱性 等 *1 アプリケーションのソースコード等を元に内部 の挙動を含めて診断すること。 *2 ソースコード無しでアプリケーションの内部の 挙動を解析すること。
- 18.  18 料金について(税抜) スマートフォンアプリケーション診断 request あたり料金 × request数 ➕ クライアント(iOS/Androidの2OSもしくは片方)の診断 ➕ 診断結果の報告書作成 0円 1 2 APIの診断 Professional 要見積もり Standard Minimum お問い合わせください お問い合わせください
- 20. その他の診断について  20 ○ AWS・GCP・Azure診断 ○ Firebase診断 ○ プラットフォーム診断 ○ スマートフォンゲーム診断 ○ IoT診断 ○ ペネトレーションテスト のお見積に関しては別途ご相談ください。