- ペネトレーションテスト
（侵入テスト） -

脅威に対しての対策状況を評価

イエラエの診断員が攻撃者と同じ視点のシナリオで侵入テストをします。企業にとって価値ある情報資産は、攻撃者などにとっても価値があり、様々な脅威にさらされるリスクがあります。ペネトレーションテストは、高度なセキュリティ技術と手法で脅威に対しての対策状況を評価します。

※ペネトレーションテストはサイトシールの配布対象サービスです。

ペネトレーションテスト
（侵入テスト）は
こんな方におすすめ

ペネトレーションテスト（侵入テスト）の
3つの特長

導入済みの防御機構/体制/ログ機能を検証し、実際の脅威から効果的な対策へ変革させる

01現状のセキュリティ対策、体制のリスク評価ができる

業務に影響がない範囲で疑似攻撃を行い、想定脅威を明らかにします。現在導入している防御機構で防げること、防げないことなどの結果から、現状のセキュリティ対策や体制面がどの程度機能するかのリスク評価を判定します。

02セキュリティ対策の投資判断とROIを見積りやすくなる

ゴール設定した機密情報までの到達が可能かを検証し、その脅威に対し正しく防御できているかを確認できます。想定脅威に対し、防御できている箇所や不足している箇所を確認できるため、組織にとって必要なセキュリティ対策コストを見積もりやすくなります。

03社内のセキュリティに対する意識を高める

疑似攻撃により、ゴール設定した機密情報などに、到達したという実証は、関係者への心理的なインパクトを残します。サイバーセキュリティにおいて、防御側よりも攻撃側が有利という事実の理解にもつながり、社内のセキュリティに対する意識を高めます。

脆弱性診断との違い

	ベネトレーションテスト	脆弱性診断
WHY なぜテストするのか	攻撃者が脆弱性を悪⽤することで、目的を達成できるか実際に検証する。	単一のシステムに対して脆弱性を大小問わずに洗い出したい。
HOW どんな手法で？	実際の攻撃者役として診断員がツールや脆弱性の利⽤、ソーシャルエンジニアリングなどのハッカーが活⽤する攻撃⼿⼝で対象とする企業の機密情報まで到達できるか調査を⾏います。	OWASPトップ10など⼀般的に既知となっているよくある脆弱性を中⼼にツールと⼈的な⼿順に従って網羅的に調査します。
WHAT 調査対象の範囲は？	広義のシステム(インフラ、⼈、組織、ルール) ※主に運⽤(Ops)中のシステム向き。	狭義のシステム(Webアプリケーション、IPアドレスなど） ※主に開発(Dev)後のアプリケーション向き。
WHAT どんな診断レポートか？	想定した脅威のゴール達成までに至る侵入経路、攻撃手法、侵入に利用した脆弱性情報、今後の改善策	発⾒された脆弱性を⼀覧化した上でのリスク評価、脆弱性の詳細説明、今後の改善策
WHO どんな企業・組織向きか？	情シスやCSIRTが企業内に存在し、脆弱性診断を実施したことがある組織。	情報流出によるリスクを懸念している企業全般。
WHEN どのくらいの頻度で実施するのか	年1,2回	開発・アップデート後
HOW LONG どれくらいの期間か？	実施期間を確定してから調査します。期間の⽬安は、1週間〜数ヶ⽉。	診断対象のボリューム（セッション数など）を確定してから調査します。期間の⽬安は1週間〜。