ペネトレーションテスト

インターネット上で稼働しているお客様のシステムに対して、攻撃者の視点からシステムの脆弱性を洗い出し、その脆弱性が、攻撃者のシステム内部への侵入などの、セキュリティ上の脅威を引き起こす要因になり得るかを確認するサービスです。侵入実験、侵入テストとも呼ばれています。

弊社のパートナー企業である「CyberMatrix」社の、経験豊富なセキュリティ専門家によって、ペネトレーションテストを実施致します。

• コンテンツを置き換えて不正なデータに置き換えて改ざんする。
• システムにプログラムをインストールしてバックドア（侵入口）を作る。
• エクスプロイト攻撃（脆弱性を狙った、コードやプログラムを用いた攻撃）を実施し、サービスをダウンさせる。
• システムにアクセスし、顧客情報を搾取する。
• プログラムを改ざんし、顧客情報を転送する。

攻撃者は標的とするサイトに侵入し、あらゆる手段で情報収集を行います。インターネット情報から組織に関連する情報を収集したり、特定の人物になりすまして情報を収集したり、脆弱性のある関係組織を攻撃し侵入して標的のシステムへ攻撃を実施することがあります。本サービスではインターネット上で収集できる情報や対象のシステムの脆弱性、その他、お客様と合意した手法で、脆弱性を利用した脅威の引き起こしが可能かのテストを実施いたします。

ペネトレーションサービスに必要な情報をリサーチします。お客様からの情報提示、ミーティングなどをお願いする場合があります。システム構成、ネットワーク情報、開発時の仕様書やWEBサイトマップなどをご用意頂けますとより有効です。

脅威の要因となりうる脆弱性を調査いたします。発見した脆弱性の中で、システム内部への侵入の要因になるモノを洗い出します。専用ツールを利用した重点的な調査と、専門エンジニアのスキルによる徹底調査を行います。

検出した脆弱性に関連する脅威を特定し、あらゆる攻撃手法を駆使しながら他の脆弱性と組み合わせて、特定した脅威を引き起こせるか調査します。

ペネトレーションテストで検出した脆弱性と脅威を引き起こせることができる脆弱性がある場合、その脆弱性の詳細と脅威を引き起こすための手法を記載したレポートを提出いたします。

作成した報告書に対してセキュリティの専門家が訪問またはWebExやZoomなどによるリモートサイトからのミーティングで報告書の内容を解説をさせていただきます。報告書の内容について理解を深めたい、第三者より関係部署のメンバーを含めてペネトレーションテストの結果を共有したい場合にご利用ください。

ペネトレーションテストで検出した脆弱性を再検査いたします。プログラムを改修後に脆弱性が無くなったか確認することを目的とします。ペネトレーションテストの報告書提出後の2ヶ月間を、再検査の有効期間と定め、1箇所ごとに30,000円の費用で手動診断を実施します。