MATESO社の最高技術責任者でサイバー・セキュリティ・エバンジェリストのSascha Martens氏は、「当社にとってセキュリティは単なる選択肢ではなく、お客様に対する約束であり、その約束を守るために私たちは日々努力しています。」と言います。
主力のPassword Safeソリューションの継続的なセキュリティを確保するために自社と顧客の両方が信頼できる世界的に評価の高いアプリケーション・セキュリティ企業との連携を求めていたMATESO社は、Gartnerによる2021年のマジック・クアドラント(2021 Magic Quadrant)でアプリケーション・セキュリティ・テスト部門のリーダーに選出されたシノプシスに注目しました。シノプシスは、世界中の企業のソフトウェア・セキュリティとコード品質のリスク管理を支援しています。
「当社のPassword Safeの最新バージョンには、多くの新機能が追加されています」とMartens氏は言います。「Webアプリケーション・クライアントとシック・クライアント側の両方を徹底的にテストしてお客様のリスクを最小限に抑えることが重要でした。目標は、脆弱性を発見して排除すること、および必要に応じて構築できる詳細なレポートと実用的な修正ガイダンスを入手することでした。シノプシスにはアプリケーション・セキュリティ・テストに関する豊富な経験と当社に必要なノウハウがありました。」
ペネトレーション・テストは、セキュリティを評価するためにコンピュータ・システムで実行される、許可されたシミュレーション攻撃です。ペネトレーション・テスターは、システムの弱点がビジネスにもたらす影響を見つけて実証するために、攻撃者と同じツール、テクニック、プロセスを使用します。
ペネトレーション・テストでは、通常、ビジネスを脅かす可能性のあるさまざまな攻撃をシミュレーションします。ペネトレーション・テストでは、認証された状態と認証されていない状態、およびさまざまなシステム・ロールからの攻撃に対抗できるほどシステムが堅牢であるかどうかを確認できます。スコープが適切であれば、ペネトレーション・テストはシステムのあらゆる側面を深く掘り下げることができます。
シノプシス・プロフェッショナル・サービスのペネトレーション・テストにより、MATESO社などの企業は、現在のニーズに基づいて評価を調整し、実行中のアプリケーションに潜んでいる可能性があるビジネス上の重要な脆弱性を体系的に見つけて排除することができます。シノプシスのコンサルタントは、さまざまなテスト・ツールを使用し、脆弱性の発見に焦点を当てて詳細な手動テストを行います。お客様は、アプリケーションごとのリスク・プロファイルに基づいて必要なテストを行うために、ペネトレーション・テスト評価の深度を選択できます。
目標は、ビジネス上の重要な脆弱性を発見して排除すること、および必要に応じて構築できる実践的な修正ガイダンスを入手することでした。"
Sascha Martens
|MATESO社CTO
「シノプシスは、当社のPassword Safeのセキュリティ・コントロールが入力値検証攻撃や機密保持違反などの一般的な攻撃パターンへの抵抗に効果的であることを明らかにしました」とMartens氏は言います。「ペネトレーション・テストのプロセスは綿密に体系化および計画されていました。テストの前とテスト中は、応答のために短時間、通信チャネルをオープンにしておき、その間、シノプシスはテストの進行状況について情報を更新し続けました。アプリケーション環境の徹底的なスコープ設定と詳細な準備のおかげで、シノプシスは約2週間半でレポートを提出することができました。
「このレポートの利点の1つは、シノプシスのコンサルタントとの詳細なフォローアップ・ミーティングが実施され、推奨される対策が提示されことでした。コンサルタントのプロ意識の高さ、職業倫理、秩序ある手法に感銘を受けました。シノプシスは間違いなく、今後のペネトレーション・テストでも協力をお願いしたいパートナー候補です」とMartens氏は言います。
MATESOは、ID、パスワード、文書を安全に管理するための先進のソリューション、Password Safeを提供する革新的なドイツの企業です。フランクフルト証券取引所に上場しているドイツのトップ企業30社のうち20社を含む世界中の企業が、MATESOのPassword Safeソリューションを使用してデータとシステムを保護しています。
企業レベルでのパスワード管理の必要性を認識したMATESO社のマネージング・ディレクター、Thomas Malchar氏は、機密データへのセキュアなアクセスを容易にし、企業のセキュリティと労働生産性を向上させる包括的なエンタープライズ・パスワード管理ソリューションを開発しました。
ペネトレーション・テストを含む定期的な第三者による外部監査によって同社の高いセキュリティ基準をさらに強化し、セキュリティ・ギャップを特定して解決しています。