ペネトレーション
テストサービス
ペネトレーションテスト(侵入テスト)は、セキュリティ専門家が過去事例を基にした攻撃シナリオに沿って、お客様のシステムに対して疑似攻撃を試みるテストです。 このテストでは、攻撃者と同じ手法を用いてシステムへの侵入や機密情報の窃取等の攻撃目標の達成を試み、システムのセキュリティレベルを評価します。 具体的には、システムのセキュリティホールを発見し、それがどの程度悪用される可能性があるかを検証します。
当社のペネトレーションテストは、NIST SP800-115に準拠して実施され、攻撃の耐性やシステムのセキュリティレベルを評価します。 これにより、システムの脆弱性を明確にし、セキュリティ対策の強化に役立てることができます。 また、テスト結果を基に具体的な改善策を提示することでシステムの安全性を高めるための支援を行います。
ペネトレーションテストの有効なケース
既知の攻撃を受けた場合の
影響度を評価したい
脆弱性管理ができているか
把握したい
セキュリティ設定に
不備が無いか確認したい
第三者認証を
通過したい
当社のペネトレーションテストサービスにおける疑似攻撃の種類
-
1.管理者権限の取得
脆弱性または設定不備を利用し、管理者権限(ドメイン管理者等)を持つアカウントによるオペレーティングシステムへのログインや任意のコマンド実行を試みます。
-
2.一般権限の取得
脆弱性または設定不備を利用し、一般権限を持つアカウントによるオペレーティングシステムへのログインや任意のコマンド実行を試みます。
-
3.機密情報の入手
脆弱性または設定不備を利用し、本来アクセス権のないアカウントによる機密情報の入手・外部持ち出しを試みます。
-
4.権限外操作の実施
脆弱性または設定不備を利用し、アカウントに対し本来許可していない権限での操作を試みます。
-
5.その他の疑似攻撃
脆弱性、外部に漏えいした認証情報または内部情報を利用し、オペレーティングシステムやアプリケーション等に対して本来許可されていない操作を実施します。
ペネトレーションテストと脆弱性診断の違い
| 比較項目 | ペネトレーションテスト | 脆弱性診断 |
|---|---|---|
| 目的 |
|
|
| 手法 |
|
|
| 報告内容 |
|
|
テスト実施方法
1.リモート
当社テスト環境から
インターネット経由で
テストを実施します。
2.オンサイト
お客様の内部ネットワーク内で
テストを行います。
3.VPN経由
当社テスト環境からVPNを使って
お客様の内部ネットワークに接続し
テストを実施します。
実施の流れ
お客様のシステム・希望日程等についてヒアリングを実施し、料金やテストに必要な日数の見積を実施します。
お客様のシステムにおける攻撃シナリオの作成、テスト実施方法、テスト実施日程等を決定します。
テスト実施者が攻撃シナリオに沿って疑似攻撃を実施します。
テスト完了後に報告書を作成します。目安として、テスト完了から10~15営業日後に報告書を提出します。
(※テスト内容・テスト結果によって日数が超過する場合があります。)
ご希望の場合、テスト結果の報告や検出された脆弱性について再テストを行います。
報告書サンプルダウンロード
こちらよりご確認下さい。
価格
診断内容・期間などにより変動いたします。複数診断の組み合わせも可能なので見積もりについてはお気軽にお問い合わせください。
