サービス概要
- サーバーへの侵入などを目的としたペネトレーションテスト
-
- 実際の攻撃者を想定して攻撃を行い、ご希望に応じてソーシャルエンジニアリングやブルートフォース攻撃など様々な攻撃シナリオを実行します。
- システムへの侵入などが成功した場合、経営者や従業員の方たちに大きな衝撃を与えることが可能なため、社内のセキュリティ意識の向上につながります。
ペネトレーションテスト
サービスの特徴
- 国際資格保持ホワイトハッカーによる侵入テスト
-
- ペネトレーションテストの国際資格を保持したホワイトハッカーが実際に発生しうるシナリオを作成し、あらゆる方法を利用してシステムへの侵入を試みます。
- 実施後のご報告
-
- 実際に侵入に成功した場合は、侵入までに至った詳細な過程と対策方法を診断レポートにてお伝えいたします。侵入が不可能であった場合も、今後発生しうるシナリオや対策方法を記載いたします。
サービスの詳細
- 診断レポートについて
-
- 検出した脆弱性は診断結果報告書として診断終了後5営業日ほどでお渡しします。
- 実際にお渡しする診断レポートのサンプルがございますので、そちらについてはぜひお問い合わせください。
- 独自の評価基準による総合評価の算出
-
- 診断対象のセキュリティレベルが一定の水準に達するまで、継続的に対策のご協力をします。
- 使用した診断ツールのアウトプット分析結果を注意事項などの項目に記載します。
- 診断にて指摘した事項ごとに脆弱性の発生可能性と影響度を計算し、最終的に100点満点で算出します。
- 報告会について
-
- ご希望に応じて、実際に脆弱性診断を担当した診断員同席のもと診断結果報告会を実施いたします。
- 診断レポートを基に脆弱性を発見するまでの思考プロセスを解説します。
- また成立しなかった攻撃まで把握することで診断時点でのセキュリティ対策の効果をより明確にすることができます。
- ブラックボックス診断にも対応可能
-
- ブラックボックス診断では攻撃者と同じ目線から診断を実施するため、診断対象のソースコードの提供や、セキュリティ製品の取り外しは不要です。
- 対策強度診断
-
- 総合評価が一定の水準に達することを目標に再度、診断を実施します。
- 前回診断時に検出した脆弱性への対策有無の確認だけではなく、対策によってどの程度強度が向上したかまでご報告いたします。
- 自動診断ツール(抜粋)
-
- Wevアプリケーション診断では、「Burp Suite Professional」や「OWASP ZAP」などのツールを使用します。
- プラットフォーム診断/ペネトレーションテストでは、「Nessus」や「OpenVAS」などのツールを使用します。
- 一斉診断
-
- 同じ開発会社で開発されたアプリケーションには似通った脆弱性が多く見られます。
- 複数のタイトルを一斉に診断することで費用、時間ともに効率的にセキュリティ対策を実施できます。
- 定期診断
-
- 大型アップデート等の機能追加のタイミングで前回の診断では検出し得なかった脆弱性が発生する可能性があります。
- より長期にわたる安全なアプリケーション運営を実現するため、少なくとも年1回の定期診断を推奨しています。
診断手順例
- パブリックIPアドレスを持つサーバーへの侵入テスト
-
- nmap等のツールやOSINTによるTCP/UDPポートスキャン
- 開放された各ポートで稼働するサービスの調査
- 各サービスの既知の脆弱性(CVE)を調査
- 各サービスのゼロデイ脆弱性を調査
- 確認された脆弱性をエクスプロイト
- 権限の低いユーザのシェルを獲得
- サーバー内部の脆弱性をエクスプロイトし、権限を昇格
サービスフロー
- 事前調査
-
- アプリケーションの特性に応じて重視される点、リスクの高い機能等を事前にヒアリングいたします。
- 診断実施
-
- 診断期間中であっても高リスクの脆弱性発見時には速報でお伝えします。
- 結果報告
-
- 発見された脆弱性の再現方法、リスク、対策を記載した診断レポートを提出します。
- ご希望に応じて、報告会を開催いたします。
- 対策強度診断
-
- 総合評価が一定の水準に達することを目標に再度、診断を実施します。
- 定期診断
-
- 初回の診断後も少なくとも年1回の定期診断を推奨しています。
お問い合わせはこちら