セキュリティ評価 // CHIMERASCOPE
当社は貴社の外部攻撃サーフェスを評価し、暗号化されたコンプライアンスマッピングレポートを提供いたします――このレベルで唯一、すべての所見を特定の CRA、NIS2、ISO 27001、GDPR、DORA、MiCA の規制条項にマッピングする評価です。
当社は、組織の公開されているインフラストラクチャ(ドメイン、サブドメイン、証明書、メールセキュリティ、公開サービス、クラウド設定、サードパーティ依存関係)を、長年のセキュリティ研究に基づいて開発された独自の評価手法を用いて評価いたします。
すべての検出項目は、自動的に組織に適用される規制フレームワークの条項にマッピングされます。その結果、技術チームとコンプライアンス担当者の両方が理解できる、構造化された暗号化インテリジェンスレポートが作成されます。
これはペネトレーションテストではありません。外部の観測者が確認できる範囲を超えてシステムに対して操作を行うことはありません。標準的な評価範囲については承認は不要ですが、有料評価については正式な契約書の締結を推奨いたします。
包括的な評価を、AES-128で暗号化されたPDFとして提供いたします。目次全体、エグゼクティブスコア(A–F)、およびフォレンジックチェーン・オブ・カスタディを含みます。インフラの複雑性に応じて、通常30〜50ページです。
すべての所見を以下の条項にマッピングします:CRA 第10条、第11条、第14条 — NIS2 第21条の対策 — ISO 27001 Annex A のコントロール — GDPR 第32条の技術要件 — 金融機関向けの DORA 第5〜12条、第17条、第24条、第28条 — 暗号資産サービスプロバイダー向けの MiCA 第62条、67条、68条、75条、79条、83条 — それぞれの条項ごとのPASS/FAIL評価を含む専用の MiCA/DORA コンプライアンススコアカードを提供いたします。該当する場合は業界別の注釈も付与いたします。
取締役会向けに準備された要約を提供いたします。全体的なセキュリティ評価、CRA 準備状況スコアカード(赤・黄・緑のインジケータ付き)、およびインパクトと工数で整理された是正優先度マトリックスを含みます。
SHA-256でハッシュ化されたフォレンジック証拠チェーンと検証用QRコードを提供いたします。SIEM プラットフォーム、Jira、ServiceNow と互換性のある機械可読JSONエクスポートを備えており、是正作業フローへ直接統合可能です。
脆弱性報告は2026年9月11日から義務化されます。完全なコンプライアンスは2027年12月までに必要です。当社は調査結果を第10条(サイバーセキュリティ要件)、第11条(脆弱性対応)、第14条(報告義務)にマッピングします。罰則は最大€15Mまたは世界年間売上高の2.5%です。
第21条に基づく全適用領域にわたるセキュリティ対策評価。医療、エネルギー、輸送、水、デジタルインフラ事業者向けのセクター別マッピングが利用可能です。2026年1月からデンマーク、フィンランド、スウェーデンで適用されています。
付録Aの管理策マッピングと情報セキュリティマネジメント要件に対するギャップ特定を行います。認証取得または維持を目指す組織に特に有用で、調査結果は直接Statement of Applicabilityに組み込まれます。
第32条に基づく技術的および組織的対策の評価。データ露出の評価、侵害リスクのスコアリング、外部攻撃面から見える処理活動の特定を行います。
EUの金融機関に対して義務付けられています。当社は調査結果を第5条~第6条(ICTリスク管理)、第7条(パッチ管理)、第9条(アクセス制御・暗号化)、第10条~第11条(検知と対応)、第17条(インシデント報告)、第24条(レジリエンステスト)、第28条(サードパーティリスク)にマッピングします。DORAコンプライアンスマッピングはすべての有料評価に含まれます。
EU全域で暗号資産サービスプロバイダー(CASP)向けに制定された規制枠組みで、2024年6月に発効し、2024年12月から本格適用されます。当社は調査結果を第62条(ICTリスク管理)、第67条(運用レジリエンス)、第68条(保護要件)、第75条(保管・管理)、第79条(取引サービス)、第83条(苦情処理)にマッピングします。暗号資産対象には、MiCA/DORAコンプライアンススコアカードを提供し、各条項ごとにPASS/FAIL/WARNの評価をレポートに記載します。EU内で暗号資産取引所、カストディウォレットプロバイダー、その他暗号資産サービスを提供するすべての組織にとって必須です。
臨床試験データの保護、製造システムの露出、GxP コンプライアンスの検証を行います。評価は、接続された実験室機器、研究ポータル、およびパートナー組織への API インターフェースを対象とします。
複数クライアントのデータ環境評価、FDA/EMA 監査準備評価を実施します。特に、サプライチェーンの露出、共有インフラリスク、クライアント間データ分離の検証に重点を置きます。
接続デバイスエコシステムの評価、CRA 製品コンプライアンス評価を行います。ファームウェアの露出分析、アップデートメカニズムのセキュリティ、API 認証、クラウド管理プラットフォームの姿勢をカバーします。
CRA 対象の接続製品に対する OT/IT 融合リスク評価を実施します。センサーネットワークの露出、SCADA インターフェースの検出、クラウド管理プラットフォーム、エッジコンピューティングのセキュリティ評価を行います。
電子健康記録システムの露出、患者データリスク評価を行います。NIS2 のヘルスセクター要件のマッピング、遠隔医療プラットフォームのセキュリティ、統合エンドポイントの評価を実施します。
DORA コンプライアンス準備評価、API セキュリティ姿勢の評価を行います。決済インフラの分析、モバイルバンキングの露出、サードパーティサービスプロバイダーのリスクマッピングを実施します。
暗号資産サービスプロバイダー、取引所、カストディアルウォレット運営者向けの MiCA コンプライアンス準備を支援します。OFAC 制裁スクリーニングを組み込んだブロックチェーンアドレスインテリジェンス、ウォレットの露出分析、トークンリスク評価、Proof of Reserves の検証を提供します。BTC、ETH、XRP、SOL、ERC-20 トークンエコシステムを対象とし、オンチェーン露出を持つ組織向けに検証済みスマートコントラクト脆弱性分析も実施します。
標準的な評価は上記で説明したコア外部攻撃面をカバーします。特定の規制、運用、またはセクター要件を持つ組織に対しては、リスク姿勢とコンプライアンス義務に合わせて選択された追加の偵察および検証活動により、エンゲージメントのスコープを拡張できます。
自己ホスト型推論プラットフォーム、エージェントフレームワーク、Model Context Protocol サーバー、そして公共の推論インターフェースの検出を行います。これらは近年の組織の外部攻撃面の一部となりつつあります。露出検出、管理インターフェースの認証姿勢、そして推論エンジンやオーケストレーションプラットフォームの既知の脆弱性クラスとの照合をカバーします。
CVE 情報を付加した JavaScript 依存リスク分析、サードパーティリソース全体にわたる Subresource Integrity の検証、期限切れ CDN ドメインの属性付与(長期間存続するブランド資産の取得経路として文書化済み)、および外部から見えるベンダーエコシステムに対するサードパーティ SaaS プラットフォームのセキュリティ姿勢評価を実施します。
DNS および BGP の変更パターンによるインフラストラクチャのタイムライン分析、アーカイブコンテンツの変遷、サービス指紋の時間的ドリフト、そして現在と過去の TLS 証明書間の相関を行います。これにより、現状スキャンでは把握できない運用パターンやインフラストラクチャの意思決定が明らかになります。
組織のアイデンティティ境界内で稼働している未承認の SaaS テナント、企業ガバナンス外で動作する自己ホスト型エンジン、そして運用寿命を超えて残存している孤立インフラストラクチャを特定します。これらは現在所有者が不在のためインシデントを引き起こす資産群です。
スコープ内エンドポイントに対するインジェクション脆弱性(SQL、サーバーサイドリクエストフォージェリ、テンプレート、コマンド)の検証テストを、正式な書面による許可の下で実施します。この活動は受動的偵察から能動的評価へとエンゲージメントを移行させ、事前に署名された作業範囲(Scope of Work)が必要です。
マルチチェーンウォレットの検出(BTC、ETH、XRP、SOL、ERC-20)、米国財務省リストに対する自動 OFAC SDN 制裁スクリーニング、ウォレットタイムラインの詳細分析、取引所属性付与、トークンリスク評価、そして DeFi エンドポイントの検出(公開 RPC ノード、漏洩したプロバイダー API キー、管理者ウォレットの検出)を実施します。暗号資産セクターの組織や、デューデリジェンスやコンプライアンス義務の一環として取引先のブロックチェーン露出を検証する必要がある組織向けです。
Ethereum および EVM 互換チェーン上にデプロイされた検証済み Solidity スマートコントラクトの静的およびシンボリック脆弱性分析を行います。再入可能性パターン、アクセス制御の弱点、未チェックの外部呼び出し戻り値、整数オーバーフロー条件、delegatecall インジェクションベクトル、self-destruct 権限のギャップ、フロントランニング脆弱性など、文書化されたスマートコントラクト弱点分類全体をカバーします。分析は公開検証済みのコントラクトソースコードのみを対象とし、プライベートリポジトリや内部コードベースへのアクセスは要求せず、必要ともしません。オンチェーン金融インフラへの露出を有する、または評価する組織向けに拡張エンゲージメントスコープの一部として提供します。
量子コンピューティング脅威に対する暗号インフラの回復力を包括的に評価します。標準化されたポスト量子ハイブリッドおよび純粋アルゴリズムを用いた TLS 鍵交換設定、証明書アルゴリズムの移行準備状況、SSH 鍵交換の近代化ステータス、メール転送暗号化の量子安全性、プロトコルダウングレード脆弱性の露出を評価します。CDN を考慮した分析により、エッジ提供型とオリジンネイティブ型のポスト量子保護を区別し、コンテンツ配信インフラに依存する組織にとって重要な区別を提供します。評価結果は CRA 第10条の暗号要件、NIS2 第21条の最新技術義務、BSI TR-02102-1 の推奨アルゴリズムガイダンスにマッピングされます。外部から観測可能なすべての暗号エンドポイントに対する実際の導入状況を示す定量的な準備スコアと共に提供します。
特定された各検出項目を具体的な MITRE ATT&CK 手法およびサブ手法に紐付け、カバレッジギャップの特定と検知エンジニアリングの優先順位付けを提案します。これにより、セキュリティオペレーションセンターまたは同等の機能を運用する組織の検知エンジニアリングロードマップに直接統合できます。
業界別に高度な持続的脅威(APT)グループを特定し、組織の業界垂直領域に対する文書化された標的活動を把握します。政府が属性付けした脅威アクターのデータベースと国家サイバーセキュリティ機関の追跡リストを照合し、組織のセクター、地域、運用プロファイルに最も関連性の高い国家支援型グループを抽出します。各グループは国属性、既知の別名、対象セクター、インシデントタイプ分類、対応する MITRE ATT&CK グループプロファイルへの直接参照と共に提示されます。国家サイバーセキュリティ機関が積極的に監視しているグループには BSI 追跡ステータスバッジが付与されます。評価スコープでカバーされるすべての業界セクターに対して提供可能です。
拡張スコープを一般的に要求する組織: 防衛・デュアルユース技術の請負業者、契約開発・製造機関(CDMO)、重要な国家インフラ事業者、金融市場インフラ、OT と IT の融合環境、規制データを取り扱う研究機関。
貴社のドメインをご提出いただくと、無料の External Exposure Summary を 48 時間以内にお届けいたします。
評価タイプを選択し、組織の主要ドメインをご入力ください。すべての提出は機密として扱われます。