ペネトレーションテストは、脆弱性診断士スキルマッププロジェクトで定義されているように、明確な意図を持った攻撃者にその目的が達成されてしまうかを検証するためのセキュリティテストです。検証時に設定された目標が実際に達成できるのかを評価するために、既知の脆弱性を活用し調査を行います。
- 実際に攻撃を受けた場合、どれくらいの影響や被害が想定されるのか
- セキュリティ機器の有効性やサーバ、設定など問題がないか
- 脆弱性診断では発見しにくい運用上の問題がないか
- 外部から社内に侵入することができるかどうか
- 標的型攻撃のリスクはどれくらいあるのか
上記について検証・確認したい場合に適しています。
サービス内容
お客様の要望に応じて、攻撃者の目的を想定したゴールやテストの対象範囲を設定して、テスト実施時間帯などの条件を基にテスト計画を作成します。テスト実施後は、ゴールの達成可否などをまとめたテスト結果及びセキュリティ改善策についてご報告します。
三井物産セキュアディレクション(MBSD社)が提供するTLPT支援(脅威ベース ペネトレーションテスト)で培った脅威分析によって、お客様の組織や業務に対しての脅威を詳細に分析し、その結果を基に攻撃手順をカスタマイズし、テストを実施することも可能です。また、テスト実施時に、お客様の内部におけるインシデント対応フローが適切に機能しているかどうかや防御機構の有効性について評価を行うことも可能です。
サービス特長
- 豊富なナレッジと数千IPに対するテスト実績
-
- 年間1000IP以上、累計数千IPに対する多くの案件を通じて得たノウハウを蓄積
- 実用性の高い攻撃コードを収集・実証した独自の手法
- 侵入リスクを可視化
-
- セキュリティ機器の有効性やどこまで侵入可能か、どのくらい被害が拡大する可能性があるのかを分析
- 侵入の可否だけではなく、管理者権限の取得や侵入後に得た情報を活用した他の対象への侵入の試行による、想定される影響や被害範囲を可視化
- 高い脆弱性検証技術
-
- 実用性の高い攻撃コードを収集・実証し、ツールに依存しないExploitコードの作成
- コードの検証を行うことにより、安全で精度の高いペネトレーションテストを実現
- 多数の脆弱性発見実績
-
- JPCERT/CC と IPA による共同運営の JVN(Japan Vulnerability Notes)における脆弱性報告の公表では、新たな脆弱性(0day)を累計200件以上報告
- 未知の脆弱性を発見する高いスキルを持つセキュリティエンジニアの在籍
ご利用の流れ
事前準備
- テストの対象となるゴール・対象範囲(スコープ)・攻撃手段を確定するために、必要な情報のご提出
計画策定
- ご提出情報より、ゴール・対象範囲(スコープ)・攻撃手段を確定、テストを実施するスケジュールの調整
実査
- 事前に取り決めた攻撃手順に沿って、ペネトレーションテストを実施、テストの結果に関する報告書の作成
報告
- ペネトレーションテストの結果報告と報告書の提出
- 今後のあるべき姿(To-Be)の提言
サービス料金
お問い合わせフォームよりご連絡ください。
脆弱性診断との違い
ペネトレーションテストは、脆弱性診断サービス(Webアプリケーション診断、プラットフォーム診断)とは異なります。主に診断の目的、手法、調査対象に大きな違いがあります。
| ペネトレーションテスト | 脆弱性診断 (Webアプリケーション診断/プラットフォーム診断) | |
|---|---|---|
| 目的 | 事前に取り決めた攻撃目標を達成できるかどうかを検証します。 | 調査対象における脆弱性の有無を網羅的に洗い出します。 |
| 手法 | 事前に取り決めた攻撃手順に沿ってテストを実施します。攻撃目標を期間内に達成するために様々な手法を使い、必要があれば脆弱性を利用して攻撃を行います。 | 脆弱性を洗い出すために、あらかじめ決められた項目についてツールおよび手動で調査します。実際に攻撃して影響を確認するような調査は行わず、脆弱性の有無の確認を行います。 |
| 調査対象 | その組織が持つすべてのシステム、もしくは指定されたシステム全体が対象です。 | 指定されたWebサイトやプラットフォームが対象です。 |
| 結果報告 | どのような攻撃により攻撃目標を達成できたか、テストの過程で判明した脆弱性やセキュリティ上の問題を報告します。 | 発見された脆弱性を、危険度「Medium」「High」「Critical」に分別して報告します。 |
サービス提供元:三井物産セキュアディレクション株式会社
