Securifyのご提案資料です。

1. Copyright © 3-shake, Inc. All Rights Reserved.
脆弱性診断ツール
Securify（セキュリファイ）
1

2. 目次
Copyright © 3-shake, Inc. All Rights Reserved. 2
1. Securify（セキュリファイ）とは
2. 機能紹介
3. 活用ユースケース
4. 料金表
5. カスタマーサポート
6. 利用までの流れ
7. 導入事例
8. 会社紹介

3. Copyright © 3-shake, Inc. All Rights Reserved. 3
Securify（セキュリファイ）とは
01

4. Copyright © 3-shake, Inc. All Rights Reserved.
Securify（セキュリファイ）とは
4
本格的な脆弱性診断をいつでも手軽に
Securify（セキュリファイ）は自社のプロダクトに対して、手軽に、何度
でも脆弱性診断の実施を可能にし、セキュリティレベルを可視化・
DevSecOpsへの取り組みをサポートします。
▶︎ 現在、より良いサービスにするべく
ベータ版を無料提供中！

5. Copyright © 3-shake, Inc. All Rights Reserved.
Securify（セキュリファイ）とは
5
セキュリティチェックが開発の中で置き去りになっていませんか？
近年、ビジネス競争においてサービスの開発のスピードが必要不可欠となり、アジャイル開発、DevOpsとより効率的・ス
ピードを重視した手法が広まっています。しかし、そのスピードにセキュリティチェック（＝脆弱性診断）が追いつけず、
置き去りになっていませんか？
正直、開発が優先
でセキュリティは
後回しになってし
まっている。
社内にノウハウや
知見がない
対応が難しい
診断会社に
依頼しているが
コストが高い
言われたことは対
応しているが…言
われたから対応し
ているだけ…
自分事感が低い

6. Copyright © 3-shake, Inc. All Rights Reserved.
Securify（セキュリファイ）とは
6
Securifyはセキュリティへの専門ノウハウ・
知見がなくても直感的に診断が実施可能で
す。診断で検出された脆弱性への修正方法
や解説も明示されており改善まで自社内で
完結することが可能です。
精度の高い診断を
無料で手軽に何度でも
DevSecOpsへの
取り組みをサポート
専門ノウハウ不要！
直感的に診断➡︎改善可能！
Securifyは高い精度の診断を、アップデー
ト・リリース・修正などで変更するたびに
無料で手軽に何度でも実施することが可能
です。プロダクトのセキュリティレベルを
可視化することが可能です。
SecurifyはSRE支援・セキュリティに精通し
た3-shakeが提供。豊富な診断項目や定期的
な診断を実行する定期実行機能でセキュリ
ティ品質の担保に貢献し、DevSecOpsへの
取り組みをサポート。
Securify（セキュリファイ）はこうしたToilを解決します！

7. Copyright © 3-shake, Inc. All Rights Reserved. 7
機能紹介
02

8. Copyright © 3-shake, Inc. All Rights Reserved.
機能紹介 − ニーズの高い様々な診断を実施可能！ −
8
このほかにも約900項目の診断が実施可能！
※CVE単位での診断項目含め900項目以上
SQLインジェクション
クロスサイト・スクリプティン
グ（XSS）
OSコマンドインジェクション
クロスサイトリクエストフォー
ジェリ（CSRF）
CRLFインジェクション
パストラバーサル
クリックジャッキング
CORSの設定不備
Hostヘッダインジェクション
混在コンテンツ
プライベートIPの公開
相対パスインポート
脆弱なJavaScriptライブラリの
使用
オープンリダイレクト
ポートスキャン

9. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 煩雑な事前設定不要！最短3ステップで診断開始 −
9
３ステップで診断を開始できます！
新規プロジェクト作成
診断対象のURLを起点に、クローリングによって自動で診断対象のエンドポイントが抽出されます。
診断対象ドメインの
所有確認
診断対象のURLの登録

10. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 認証があるWebアプリケーションにも対応 −
10
認証情報をアップロードいただくことで
認証が存在するWebアプリケーションの診断も可能！
※対応している認証方式は限定的になりますので、ご了承ください。
以下の２つの認証方法をご用意！
● Selenium認証
○ Seleniumでログイン前後をレコーデ
ィングするのみ！
● JavaScript認証（エンジニア向け）
○ 認証処理を記述したJavaScriptファ
イルをユーザ様で作成
○ Basic認証、Cookie認証、JWT認証
はテンプレートをご用意！

11. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 検出された脆弱性の背景から修正方法まで提示 −
11
診断後、診断結果を一覧で確認可能！さらに各脆弱性の背景や修正方法も！
脆弱性と判断した根拠となる
リクエスト/レスポンスを表示
発見された脆弱性の概要を説明
発見された脆弱性の該当箇所と
修正方法の提案を提示

12. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 診断結果のスコアで状況の見える化！ −
12
診断結果をスコアで表示！見える化で脆弱性対策のモチベーションUP！
診断結果の内容に応じて、
スコアが表示

13. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 除外や対応済みのトリアージアクションを管理 −
13
診断結果を確認後にトリアージ（対象の脆弱性を除外や対応済み）して脆弱性を管理！
対応ステータスを管理
除外設定で不要な脆弱性を管理

14. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 診断結果をレポートで出力可能 −
14
診断結果をレポートとして
PDFファイルで出力可能！
診断レポートの外部共有も簡単に実施すること
が可能です。

15. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 診断結果をシームレスに通知 −
15
SlackやMicrosoft Teams、メールで、検出された
脆弱性を開発メンバーへシームレスに連携するこ
とが可能！
Slack連携 メール通知
Teams連携

16. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 診断結果をシームレスに通知 −
16
Slack連携
Slack連携イメージ

17. Copyright © 3-shake, Inc. All Rights Reserved.
ポイント − 現在のステータスを一目で確認できるダッシュボード −
17
最新の診断結果や、診断の状況、発見された脆弱性の推移などステータスを直感的に把握できます。
最新の結果に対して
脆弱性の件数や危険度を表示
脆弱性数の推移を表示
実行中の診断を表示
定期実行の
次回実行日時を表示

18. Copyright © 3-shake, Inc. All Rights Reserved. 18
活用ユースケース
03

19. Copyright © 3-shake, Inc. All Rights Reserved.
活用ケース − Securify活用のあるべき姿 −
19
バグやセキュリティホールが完全になくなることはあり得ません。
また、脆弱性は氷山に例えると海面に出ているところしか見えていないイメージ
です。 海の中には見えていない脆弱性がたくさんあります。
組織として、その見えていない脆弱性を見ていく姿勢が必要です。
● セキュリティに対してリリース直前などのワンショットではなく、
継続的に取り組まないといけません。
● 企業として脆弱性に継続的に取り組み続けるという姿勢そのものが、
プロダクト・サービスの透明性につながり、お客様の信頼獲得につながりま
す。

20. Copyright © 3-shake, Inc. All Rights Reserved.
活用ケース − Securify活用のあるべき姿 −
20
Securifyで日次や週次で継続的に脆弱性の状況をモニタリングし、
必要に応じて対応することで、セキュリティのベースライン品質担保を実現
開発① 開発② 開発③
日次や週次で継続的に脆弱性をモニタリング
セキュリティのベースライン品質を担保

21. Copyright © 3-shake, Inc. All Rights Reserved. 21
料金表
04

22. Copyright © 3-shake, Inc. All Rights Reserved.
料金表
22
Securifyベータ版は無料提供中です
まずは無料で多くの利用者の方に実際に診断を試していただき、
よりサービスの改善を実施していきたいと思っております！
FREE PLAN
フリープラン
診断項目 全て
スキャン回数上限 無制限
スキャン上限時間 無制限
検査対象エンドポイント 無制限
カスタマーサポート
（問い合わせ）
営業日の10時〜18時
月額料金
無料

23. Copyright © 3-shake, Inc. All Rights Reserved.
料金表 − コスト比較 −
23
もし、脆弱性診断を実施すると…
外部の診断会社に
簡易診断を依頼した場合合
費用（年間）
約120万円
※年3回（簡易診断）の実施と想定 40万×3回
無料
（ベータ版）
診断終了までにかかる時間
14日/ 1回あたり
※NDA締結～発注まで7日、診断準備～報告まで7日
０日
※定期診断機能で自動で実施
ポイント
● 診断の内容の柔軟さ
● 診断員が実施
● ベンダーとの調整が必要（診断実施までに時間が
かかる）
● 無料
● 開発タイミングにあわせて自社で診断可
能
● 自社のみで完結（診断実施までに時間がかからない）

24. Copyright © 3-shake, Inc. All Rights Reserved. 24
カスタマーサポート
05

25. Copyright © 3-shake, Inc. All Rights Reserved.
カスタマーサポート
25
▶︎ サポート
管理画面よりサポートにお問い合わせ可能です。（営業日10-
18時）
また、マニュアルやFAQも整備を行っており自己解決いただ
くことも可能です。
▶︎ オンボーディングの実施（任意）
ご希望される場合はオンボーディングを実施させていただい
ております。
貴社の開発環境での利用条件の確認・ヒアリング、実際の診
断実施まで設定・操作方法をご案内させていただきます。

26. Copyright © 3-shake, Inc. All Rights Reserved. 26
利用までの流れ
06

27. Copyright © 3-shake, Inc. All Rights Reserved.
利用までの流れ
27
お問い合わせをいただいた後、弊社で審査を実施させていただきます。
審査完了後、アカウント発行のご連絡をさせていただきます。
審査
アカウント
発行
活用開始
お問い合わせ
1週間以内

28. Copyright © 3-shake, Inc. All Rights Reserved. 28
導入事例
07

29. Copyright © 3-shake, Inc. All Rights Reserved.
Securify導入企業事例
29
株式会社 ハピネス・アイ様
1985年の創業以来、30余年にわたってヘルスケア事業を展開する「ハピネス・アイ」様の導入事例
“開発速度に合わせて、セキュリティをどのように担保していく
かが課題でした。”
“自社で簡単に高頻度で脆弱性診断を実施できるところにメリッ
トを感じ、Securifyを導入しました。”
導入背景

30. Copyright © 3-shake, Inc. All Rights Reserved. 30
会社紹介
07

31. Copyright © 3-shake, Inc. All Rights Reserved.
会社概要
31
社名
株式会社スリーシェイク（3-shake Inc.）
インフラをシンプルにしてイノベーションを起こす
吉田 拓真（よしだ たくま）
本社：東京都新宿区大京町22-1 グランファースト新宿御苑3F・4F
2015年1月15日
110名（2022年4月時点）
SRE特化型プラットフォーム：Sreake（スリーク）
セキュリティ診断事業：Securify（セキュリファイ）
データ連携プラットフォーム事業：Reckoner（レコナー）
フリーランスエンジニア紹介事業：Relance（リランス）
VISION
代表取締役
所在地
設立日
従業員数
事業内容

32. Copyright © 3-shake, Inc. All Rights Reserved.
セキュリティ診断事業 サービスラインナップ
32
手軽に脆弱性診断を行える診断ツールから、経験豊富な専門家による本格的な脆弱性診断サービス、
海外の4万人のバグハンターによる世界レベルでのセキュリティ対策など、
Sreake Securityはお客様のセキュリティ課題をフルカバーいたします。
セキュリティツールで
手軽にセキュリティ診断し、
SaaS利用からリスクを無くす。
脆弱性診断ツール
Securify
手軽に脆弱性診断
技術力に優れたセキュリティ専門家が
形骸化しない本当に意味のある
セキュリティ診断をご提供いたします。
脆弱性診断サービス
課題に合わせた
セキュリティ支援
4万人のバグハンターによる
世界レベルでのセキュリティ・
サービス品質を実現します。
バグバウンティ
運用代行サービスBugty
４万人の
バグハンターと連携

33. Copyright © 3-shake, Inc. All Rights Reserved.
セキュリティサービスの導入企業実績
33

34. Copyright © 3-shake, Inc. All Rights Reserved.
セキュリティサービス導入企業事例
34
note様
月間6300万人が利用するメディアプラットフォーム「note」の診断
“診断中には、スリーシェイクの知見の深さに感心しました。私
が知らなかったナレッジもあり、色々と勉強になりました。”
“診断のプロだからこそ見つけられるものもあり、診断力の高さ
を感じました。”
note株式会社 CTO 今 様
〜 だれもが創作をはじめ、続けられるようにする 〜
ミッションの実現に欠かせないセキュリティ対策

35. 本格的な脆弱性診断を
いつでも手軽に
Securify（セキュリファイ）は自社のプロダクトに対し
て、無料で手軽に、何度でも脆弱性診断の実施を可能に
し、セキュリティレベルを可視化・DevSecOpsへの取り
組みをサポートします。
お問い合わせはこちらから ▶︎
サービス詳細や料金についてのご質問・ご相談など
お気軽にお問い合わせください

36. Copyright © 3-shake, Inc. All Rights Reserved. 36
FAQ
Appendeix

37. Copyright © 3-shake, Inc. All Rights Reserved.
FAQ
37
Securifyは誰でも利用できますか？
Securifyは法人向けのSaaSとなっております。そのため、法人に所属
している方であればどなたでも利用いただけます。
本サービスはどのように利用できますか？ Webブラウザからご利用いただけます。
認証が必要なサイトを診断できますか？
はい、診断可能です。
ただし対応している認証方式は限定的になりますので、ご了承くださ
い。
JavaScript 等で画面生成しているページを診断できます
か？
はい、診断可能です。
イントラネットやプライベートネットワークで利用できま
すか？
いいえ、インターネットからアクセス可能なサイトのみ診断可能です。
本番環境への診断を実行できますか？
診断は可能ですが、 以下の内容にご留意ください。
本番環境への診断によって、データ破損や意図しないリクエストによ
る障害、レスポンス悪化等が発生した場合、当社では責任を負いかね
ますのでご了承ください。
推奨動作環境はありますか？
以下の内容になります。
• ディスプレイの解像度：1920×1080以上
• ブラウザ ：Google Chrome最新版
• メモリ ：8GB以上

38. Copyright © 3-shake, Inc. All Rights Reserved.
FAQ
38
API単体の診断はできますか？
いいえ、診断機能は提供しておりません。
※今後対応予定です
スマートフォンアプリは診断できますか？ いいえ、診断機能は提供しておりません。
SPAで作成したページは診断できますか？
診断スコープを設定いただくことで、別ドメイン（API等）を含めて
診断可能です。
クローリングの対象メソッドはなんでしょうか？
対象はデフォルトで「GET」メソッドのみとなります。
「設定」の「攻撃的な診断を許可」を設定（トグルをオン）にするこ
とで、「GET」メソッド以外も含めてクローリングと診断が実施され
ます。
Basic認証や多要素認証には対応していますか？
Basic認証は対応しております
多要素認証には対応しておりません。
※今後、認証方式については順次対応を拡大予定です
WAFやFWでIP制限をしている環境での診断は可能です
か？
Securifyからは固定IPから通信しております。
対象IPを開放いただくことで可能です。