ペネトレーションテストとは？

ペネトレーションテストとは、社用コンピュータやスマートフォン、サーバーなどの社内ネットワークに対し、攻撃者が侵入可能かどうかを事前に診断するサービスです。

侵入シナリオに応じてソーシャルエンジニアリングやブルートフォース攻撃などの通常の脆弱性診断では実施しない攻撃手法を組み合わせて侵入を試みるため、別名で侵入テストとも呼ばれます。

実際に個人情報の流出や不正アクセスが発生した場合、企業に対する著しい経済被害をもたらすため、Ninjastarsが事前にテストすることで、早期発見・早期対応することが可能になります。

サービスの特徴

ペネトレーションテストの国際認定資格OSCPを保持したホワイトハッカーが実際に発生しうるシナリオを作成し、あらゆる方法を利用してシステムへの侵入テストを行います。

お客様のご希望に応じて、ソーシャルエンジニアリングやOSINT、特定の機密ファイルの奪取などあらゆるシナリオに対応させていただきます。
実際に侵入に成功した場合は、侵入に至った詳細な過程と対策方法を診断レポートにてお伝えいたします。侵入が不可能であった場合も、今後発生しうるシナリオや対策方法を記載いたします。

情報セキュリティサービス台帳

弊社のペネトレーションテストは、経済産業省の情報セキュリティサービス台帳に記載されています。
023-0008-20

診断レポートについて

検出した脆弱性は診断結果報告書として、診断終了後5営業日ほどで納品いたします。
実際にお渡しする診断レポートのサンプルがございますので、そちらについてはぜひお問い合わせください。

独自の評価基準による総合評価の算出

診断対象のセキュリティレベルが一定の水準に達するまで、継続的に対策のご協力をします。
使用した診断ツールのアウトプット分析結果を注意事項などの項目に記載します。
診断にて指摘した事項ごとに脆弱性の発生可能性と影響度を計算し、最終的に100点満点で算出します。

報告会について

ご希望に応じて、実際に脆弱性診断を担当した診断員同席のもと診断結果報告会を実施いたします。
診断レポートを基に脆弱性を発見するまでの思考プロセスを解説します。
また、成立しなかった攻撃まで把握することで、診断時点でのセキュリティ対策の効果をより明確にすることができます。

ブラックボックス診断

攻撃者と同じ目線から診断を行うため、ソースコードの提供やセキュリティ対策の解除は必要ありません。

対策強度診断

総合評価が一定の水準に達することを目標に、再度診断を実施します。
前回診断時に検出した脆弱性への対策有無の確認だけではなく、対策によってどの程度強度が向上したかまでご報告いたします。

自動診断ツール（抜粋）

Webアプリケーション診断では、「Burp Suite Professional」や「OWASP ZAP」などのツールを使用します。
プラットフォーム診断/ペネトレーションテストでは、「Nessus」や「OpenVAS」などのツールを使用します。

こんな時には「ペネトレーションテスト」

• • • • 社内のメールアドレスにフィッシングメールが届いたことがあり、社内セキュリティを今一度確認したい
      • ペネトレーションテストを実施した経験がない
      • 他社の情報漏洩などのニュースを見て、自社のセキュリティ事情が気になる
      • 漏洩することが許されない顧客データなどが存在する