ペネトレーションテスト
現実的な攻撃シナリオを用いて、
システムの脆弱性がどのような被害につながるのかを
確認・検証する安全評価サービスです。
ペネトレーションテストとは
システムの脆弱性を突かれた場合にどの程度の被害に繋がるかを確認・検証するための安全評価を行うサービスです。検証シナリオ(ゴール設定)に対し、あらゆる経路から侵入を検討、疑似攻撃を実施し、脆弱性を発見して目的を達成します。
ペネトレーションテストの特徴
ペネトレーションテストは脆弱性スキャンに加えて実施され、スキャンで見つけた脆弱性や設定ミス等の情報を利用するなど、攻撃者が実行する攻撃を試して結果をご報告します。
| ※当社のペネトレーションテストは、CEH(認定ホワイトハッカー)やCHFI(コンピュータ ハッキング フォレンジック調査員)等の高度なセキュリティ資格保持者により実施いたします。 |
|---|
ペネトレーションテストのテスト手法
ペネトレーションテストでは、国際的に広く認知されている侵入試験の実施プロセスや攻撃手法の考え方を取り入れ、対象環境や想定される脅威を踏まえた攻撃シナリオを設計します。シナリオに基づき、実際の攻撃者の視点で侵入、権限昇格、内部ネットワークへの展開、重要資産への到達可能性などを検証し、攻撃経路や影響範囲を評価するとともに、実効性や優先度を考慮した改善策をご提案します。
| 概 要 | |
|---|---|
| 侵入糸口の調査 | 侵入糸口を探索するとともに、侵入に必要な情報を収集 |
| 侵入糸口の見極め | 侵入糸口に存在する脆弱性を判断し、複数の糸口から突破口を見極め |
| 侵入調査 | 収集した情報を用いて、 最も効率的な方法で突破口から侵入を試み、ターゲットへ接近 |
| 具体的内容 | |
| 侵入糸口の調査 | ・スキャニングによる重点箇所の絞り込み ・情報収集(システムの既知脆弱性、パッチの 適用状況、設定不備)など |
| 侵入糸口の見極め | ・機微レベルや想定される被害レベルに応じた糸口の優先順位付け ・攻撃コードによる侵入可否の判断など |
| 侵入調査 | ・権限昇格 ・フィルタリング回避 ・パスワード解析 ・辞書攻撃など |
まずはお問い合わせ・資料請求
脆弱性診断とペネトレーションテストは、どちらもシステムの安全性を高めるための重要な評価手法ですが、その目的は異なります。
脆弱性診断が「脆弱性を見つける」ためのものであるのに対し、ペネトレーションテストは「その脆弱性が実際にどのような被害につながるのか」を検証するためのものです。
両者を適切に組み合わせることで、より実効性の高いセキュリティ対策につながります。
サービス提供の流れ
STEP1
お打ち合わせ・要件のすり合わせ
お客様とのお打ち合わせを通じて、テストの目的や対象範囲、保護対象となる重要資産、実施条件などを確認し、侵入試験の前提条件を整理します。また、業務影響やリスクを考慮しながら、テストのゴールや評価基準についても認識を合わせます。
STEP2
攻撃シナリオの作成
お打ち合わせ内容をもとに、対象環境や想定される脅威を踏まえた攻撃シナリオを設計します。実際の攻撃者の行動を想定し、侵入経路や攻撃手法、目標到達までのプロセスを検討するとともに、どの範囲まで検証を実施するかを明確にします。
STEP3
テスト実施
策定した攻撃シナリオに基づき、経験豊富な診断員が侵入試験を実施します。実際の攻撃者の視点から侵入を試みるだけでなく、必要に応じて権限昇格や内部ネットワークへの展開、重要資産への到達可能性なども検証し、攻撃経路や影響範囲を評価します。
STEP4
レポートのご提出
試験結果を体系的に整理した報告書をご提出します。報告書には、実施内容や攻撃シナリオ、検証結果、攻撃経路、影響評価に加え、改善に向けた推奨事項を分かりやすくまとめます。また、必要に応じて経営層向けの概要と技術担当者向けの詳細情報を盛り込んだ内容に分け、対策の優先順位付けや改善活動に活用いただける内容とします。
セキュアイノベーション サービス一覧
