ペネトレーションテスト
ペネトレーションテスト
監査対応・リリース前・インシデント後など、「実際に攻撃されたらどうなるか」を検証したい場面に対応します。実際の攻撃者と同じ手法を用い、侵入・情報窃取などの目標達成可否を実証することで、脆弱性診断では見えにくいリスクの全体像を明らかにします。
このような場面でご活用いただけます
監査対応・第三者認証に向けて、
セキュリティ水準を対外的に証明したい
リリース前・大型機能追加前に、
実際の攻撃を想定したリスク検証をしたい
脆弱性診断は実施済みだが、
「本当に攻撃に耐えられるか」を実証したい
既知の攻撃を受けた場合の
影響範囲・深刻度を具体的に把握したい
複数社で比較検討中。
実施範囲・成果物・費用感の妥当性を確認したい
当社のペネトレーションテストにおける疑似攻撃の種類
| 比較項目 | ペネトレーションテスト | 脆弱性診断 |
|---|---|---|
| 目的 | 攻撃目標の達成可否の確認 | 脆弱性・設定不備の網羅的な洗い出し |
| 手法 | 攻撃シナリオに沿って検出された脆弱性や設定不備を利用した擬似攻撃を試行 | 危険度が低く、攻撃につながらないものを含めて脆弱性や設定不備の洗い出しを行う |
| 報告内容 | 攻撃の成否・目標達成の有無・総合的なセキュリティ評価・攻撃手順の記録 | 総合的なセキュリティ評価・脆弱性の詳細と対策 |
テスト実施方法
ペネトレーションテストは以下のいずれかの方法で実施します。詳しくはお問い合わせください。
1.リモート
当社テスト環境からインターネット経由でテストを実施します。
2.オンサイト
お客様の内部ネットワーク内でテストを行います。
3.VPN経由
当社テスト環境からVPNを使ってお客様の内部ネットワークに接続しテストを実施します。
実施の流れ
ヒアリング・見積り
お客様のシステム・希望日程等についてヒアリングを実施し、料金やテストに必要な日数の見積りを実施します。
テスト計画
お客様のシステムにおけるテスト実施方法、テスト実施日程等を決定します。
テスト実施
テスト実施者がテスト計画に沿って、実際にシステムへの疑似的な攻撃を実施します。
報告書作成
テスト完了後に報告書を作成します。目安として、テスト完了から10~15営業日後に報告書を提出します。
(※テスト内容・テスト結果によって日数が超過する場合があります。)
報告会・再テスト実
ご希望の場合、テスト結果の報告や検出された脆弱性について再テストを行います。
成果物(報告書)
テスト完了後に以下の内容を含む報告書を提出します。
| 技術担当向け | 攻撃手順の詳細・証跡(スクリーンショット含む)・脆弱性詳細・改善策 |
| 経営層向け要約 | 攻撃成否サマリ・リスク評価・優先対応事項 |
システムを守るための3つのソリューション
WEBセキュリティ診断
webシステムのセキュリティリスクを確認したいなら
プラットフォームセキュリティ診断
脆弱性を洗い出しセキュリティレベルを把握するなら
WAFサービス
webシステムを悪意のある攻撃から守りたいなら
