セキュリティアセスメント // CHIMERASCOPE

コンプライアンス対応セキュリティインテリジェンス

御社の外部攻撃面を評価し、暗号化された合規マッピングレポートをお届けいたします。これは、このレベルでの評価の中で唯一、すべての発見を特定のCRA、NIS2、ISO 27001、GDPR、DORA、MiCA規制条文にマッピングするものです。

外部攻撃面評価

私たちは、ご提供する独自の評価メソドロジーを通じて、貴社の公開されたインフラストラクチャ（ドメイン、サブドメイン、証明書、メールセキュリティ、公開サービス、クラウド設定、サードパーティ依存関係など）を評価します。このメソドロジーは長年にわたるセキュリティ研究に基づいて開発されてきました。

すべての発見事項は、貴社に適用される規制枠組みの該当条文に自動的にマッピングされます。結果として得られるのは、技術チームとコンプライアンス担当者双方に理解可能な構造化された暗号化インテリジェンスレポートです。

これはペネトレーションテストではありません。システムとのやり取りは、外部観測者が確認できる範囲に限定されます。標準的な評価範囲には事前承認は必要ありませんが、有料評価については正式な契約を推奨いたします。

ご提供内容

AES-128暗号化されたインテリジェンスレポート

目録付きのAES-128暗号化PDF形式で包括的な評価を提供。幹部評価（A～F）と法医学的証拠連鎖が含まれます。インフラストラクチャの複雑さによって通常30～50ページ程度になります。

規制適合性マッピング

すべての発見事項が特定の条項にマッピングされます：CRA第10条、第11条、第14条 — NIS2第21条の措置 — ISO 27001附属書Aのコントロール — GDPR第32条の技術的要求 — 金融機関向けDORA第5～12条、第17条、第24条、第28条 — クリプト資産サービスプロバイダー向けMiCA第62条、第67条、第68条、第75条、第79条、第83条 — および専用のMiCA/DORA適合性スコアカード（条項ごとのパス/フェール評価）。業界特有の注釈も必要に応じて記載されます。

経営陣向け要約と評価

セキュリティグレードの概要、CRA準備度スコアカード（交通整理表示付き）、影響と労力に基づいた是正優先順位マトリクスが含まれます。

証拠パッケージ

SHA-256ハッシュ化された法医学的証拠連鎖と検証用QRコード。SIEMプラットフォーム、Jira、ServiceNowと互換性のあるマシンリーダブルなJSONエクスポートで、是正ワークフローへの直接統合が可能です。

規制枠組み

サイバー耐性法（CRA）

脆弱性報告が2026年9月11日から義務付けられ、2027年12月までに完全な遵守が求められます。第10条（サイバーセキュリティ要件）、第11条（脆弱性対応）、第14条（報告義務）に調査結果をマッピングします。罰則は1500万ユーロまたはグローバル年間売上の2.5％です。

NIS2指令

第21条セキュリティ対策の評価をすべての該当分野で実施します。医療、エネルギー、輸送、水、デジタルインフラの事業者向けに業界別マッピングを提供しています。デンマーク、フィンランド、スウェーデンでは2026年1月から適用中です。

ISO 27001

附属書Aの管理対応と情報セキュリティ管理要件に対するギャップ分析を行います。認証取得または維持を目指す組織にとって特に重要です。調査結果は直接、ご提供の適用性声明書に統合されます。

GDPR

第32条技術的・組織的対策の評価を行います。データ露出評価、漏洩リスクスコアリング、外部攻撃面から見える処理活動の特定を行います。

DORA（デジタル運用耐性法）

EU金融機関向けの義務です。第5～6条（ICTリスク管理）、第7条（パッチ管理）、第9条（アクセス制御・暗号化）、第10～11条（検出・対応）、第17条（インシデント報告）、第24条（耐性テスト）、第28条（第三者リスク）に調査結果をマッピングします。DORAコンプライアンスマッピングはすべての有料評価に含まれています。

MiCA（暗号資産市場規制）

暗号資産サービス提供者（CASP）向けのEU全体の規制枠組みで、2024年6月に有効となり、2024年12月から完全適用されます。第62条（ICTリスク管理）、第67条（運用耐性）、第68条（保護要件）、第75条（保管・管理）、第79条（取引所サービス）、第83条（苦情対応）に調査結果をマッピングします。暗号資産対象には、各条項ごとのパス/失敗/警告評価が記載されたMiCA/DORAコンプライアンススコアカードを納品書に含めます。取引所、コインウォレット提供者、EU内で暗号資産サービスを提供するすべての事業者にとって不可欠です。

業界

医薬品 & バイオテクノロジー

臨床試験データの保護、製造システムの露出、GxPコンプライアンスの検証を行います。評価対象は接続された実験室機器、研究ポータル、およびパートナー組織とのAPIインターフェースです。

コンタクト製造（CDMO）

複数クライアントデータ環境の評価、FDA/EMA監査準備の検討を行います。特に供給チェーンの露出、共有インフラのリスク、クライアント間データの分離検証に焦点を当てます。

医療機器 & メディカルテクノロジー

接続デバイスエコシステムの評価、CRA製品のコンプライアンス評価を行います。ファームウェアの露出分析、更新メカニズムのセキュリティ、API認証、クラウド管理プラットフォームのポストアをカバーします。

産業用IoT & 自動化

CRA適用可能な接続製品におけるOT/IT統合リスクの評価を行います。センサーネットワークの露出、SCADAインターフェースの検出、クラウド管理プラットフォーム、エッジコンピューティングのセキュリティ評価を含みます。

ヘルスケアIT

電子健康記録システムの露出、患者データのリスク評価を行います。NIS2ヘルスセクター要件のマッピング、テレヘルスプラットフォームのセキュリティ、統合エンドポイントの評価を含みます。

金融サービス

DORAコンプライアンス準備の評価、APIセキュリティポストアの検討を行います。支払いインフラの分析、モバイルバンキングの露出、サードパーティサービスプロバイダーのリスクマッピングをカバーします。

暗号資産 & デジタル資産

暗号資産サービスプロバイダー、取引所、および保管ウォレットオペレーター向けのMiCAコンプライアンス準備を行います。OFAC制裁スクリーニングを伴うブロックチェーンアドレスインテリジェンス、ウォレットの露出分析、トークンリスク評価、Proof of Reservesの検証を含みます。BTC、ETH、XRP、SOL、およびERC-20トークンエコシステムを対象とします。

評価範囲

評価対象

外部攻撃面の列挙
サブドメインの発見とDNSセキュリティ
TLS/SSLの設定と証明書管理
メールセキュリティの検証（SPF、DMARC、DKIM）
公開されたサービスおよび資格情報の検出
技術の指紋認証とバージョン分析
クラウドインフラストラクチャおよびストレージの公開状況
JavaScriptサプライチェーンリスクの評価
過去のインフラストラクチャ変更の分析
サードパーティの依存関係およびSaaSの公開状況
ブロックチェーンアドレスのインテリジェンスおよびOFAC制裁リストのスクリーニング
DeFiエンドポイントの発見と公開されたRPCの検出
ダークウェブの存在監視と脅威インテリジェンス
AI/MLエンドポイントおよび推論プラットフォームの公開検出

評価対象外

内部ネットワークテスト
社会工学的手法やフィッシング
物理的なセキュリティ評価
脆弱性の積極的な悪用
サービス拒否テスト
従業員の監視や監視
ソースコードのレビュー
モバイルアプリケーションテスト

拡張スコープオプション

標準的な評価は、上記で説明したコアの外部攻撃面をカバーします。特定の規制、運用、またはセクター要件を持つ組織の場合、評価のスコープは追加の偵察および検証活動で拡張可能です。これは、組織のリスクポストゥアとコンプライアンス義務に合わせて選定されます。

推論エンドポイントおよびエージェントオーケストレーションの露出

自社ホスト型推論プラットフォーム、エージェントフレームワーク、モデルコンテキストプロトコルサーバー、および現代の組織の外部攻撃面に含まれるようになってきた公開推論インターフェースの発見。管理インターフェースの認証ポストゥアの検出、推論エンジンおよびオーケストレーションプラットフォームの既知の脆弱性クラスとのクロスリファレンスを含みます。

サプライチェーンの整合性

CVE情報の追加を伴うJavaScript依存関係のリスク分析、サードパーティリソースにおけるサブリソース整合性（Subresource Integrity）の検証、期限切れのCDNドメインの帰属（長期的なブランド資産の乗っ取り経路として記録済み）、および外部面から見えるサードパーティSaaSプラットフォームのセキュリティポストゥア評価。

歴史的偵察

DNSおよびBGP変更パターンを通じたインフラストラクチャのタイムライン分析、アーカイブコンテンツの進化、サービスフィンガープリントの時間経過による変化、現在および過去のTLS証明書の相関関係。現在のスキャンでは観測できない運用パターンやインフラストラクチャ決定を明らかにします。

シャドウITおよび非承認プラットフォームの発見

組織のID境界内で運用されている非承認SaaSテナント、企業ガバナンス外で運用されている自社ホスト型エンジン、運用寿命を超えて維持されている孤児化したインフラストラクチャの特定。これらは現在誰も所有していないためインシデントを生じる資産クラスです。

制御された脆弱性検証

SQLインジェクション、サーバーサイドリクエストフォージェリ（SSRF）、テンプレートインジェクション、コマンドインジェクションなどのインジェクション脆弱性をスコープ内のエンドポイントに対して検証します。これは正式な書面による承認の下で実施されます。この活動はパッシブな偵察からアクティブな評価活動に移行し、事前に署名された作業範囲（Scope of Work）が必要です。

ブロックチェーンおよび暗号資産インテリジェンス

BTC、ETH、XRP、SOL、ERC-20などのマルチチェーンウォレットの発見、米国財務省リストに対するOFAC SDN制裁スクリーニング、ウォレットのタイムライン分析、取引所の帰属、トークンリスク評価、DeFiエンドポイントの発見（公開されたRPCノード、漏洩したプロバイダAPIキー、管理者ウォレットの検出）を含みます。暗号資産セクターの組織や、コンプライアンス義務またはデューデリジェンスの一環で相手方のブロックチェーン暴露を検証する必要がある組織向けです。

MITRE ATT&CK技術マッピング

特定された各見出しが特定のMITRE ATT&CK技術およびサブ技術と相関付けられ、カバレッジギャップの特定と検出エンジニアリングの優先度推奨が含まれます。セキュリティ運用センター（SOC）または同等の能力を持つ組織の検出エンジニアリングロードマップに直接統合可能です。

承認要件。 制御された脆弱性検証を含む拡張スコープの評価は、パッシブな偵察からアクティブな評価活動に移行します。評価の実施には、正式に署名されたドメインオーナーの承認が必要です。例外は一切ありません。評価の投資額はコンサルティング段階でスコープに合わせて調整され、公開カタログの固定額とは関係ありません。

拡張スコープをよく依頼する組織：防衛および二重利用技術の請負業者、契約開発・製造組織（CDMO）、国家重要インフラストラクチャの運営者、金融市場インフラストラクチャ、運用技術（OT）および産業ITの統合環境、規制データを取り扱う研究機関。

配信

48時間の納期。契約確認後、2営業日以内にレポートを配信します。
3か国語。フルレポートは英語、ドイツ語、ポーランド語で提供。追加言語は要望に応じて提供可能です。
デフォルトで暗号化。AES-128で暗号化されたPDFファイルに、個別のアクセス資格情報を別途のセキュアチャネルを通じて配布します。
OPSEC対応。すべての報告書は運用セキュリティのレビューを経ており、内部の方法論、ツールの署名、または評価インフラストラクチャの情報は一切開示しません。
多源流の検証。すべての見解は複数の独立したデータソース間で相関分析された後、報告書に含めます。確率論的な見解は明確にそのようにマークされます。
継続的なモニタリング。リテンションベースで継続的な評価を実施し、月次デルタレポートと重要な露出変化に関する即時アラートを提供します。

無料アセスメントをご依頼ください

ご組織のドメインをご提供いただければ、無料の外部露出サマリーをお届けいたします。48時間以内に届けられます。

セキュリティアセスメントのご依頼

評価タイプを選択し、組織の主ドメインを提供してください。全ての提出物は機密扱いされます。