fbpx

- ペネトレーションテスト
(侵入テスト) -

ペネトレーションテスト(侵入テスト)とは?

ペネトレーションテスト(侵入テスト)とは、セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みて、そのリスクや影響を評価するセキュリティテストです。

脆弱性診断が網羅的にシステムの脆弱性を評価することに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価するという違いがあります。

ペネトレーションテストでは実際の脅威を模した疑似攻撃を行うことで、現状導入してるセキュリティソリューションの有効性の確認や、組織的なサイバー攻撃に対する耐性の確認を行うなど、脅威に対する対策状況を評価することが可能です。

ペネトレーションテストは、テストの特性上、テスト実施者(ホワイトハッカー)の技術により成果に差が生じることがあります。実施にあたっては技術者の慎重な選定が求められます。

GMOサイバーセキュリティ byイエラエのペネトレーションテストは、国内トップクラスのホワイトハッカーが、攻撃者と同じ視点で貴社のシステムに侵入テスト(攻撃)を行います。CSIRTやSOCの能力向上にもおすすめのサービスです。

脆弱性診断(セキュリティ診断)とは?➝

脅威に対しての対策状況を評価

イエラエの診断員が攻撃者と同じ視点のシナリオで侵入テストをします。企業にとって価値ある情報資産は、攻撃者などにとっても価値があり、様々な脅威にさらされるリスクがあります。ペネトレーションテストは、高度なセキュリティ技術と手法で脅威に対しての対策状況を評価します。

※ペネトレーションテストはサイトシールの配布対象サービスです。

ペネトレーションテストでは攻撃者目線と同じ視点でシナリオを構築し、システムに侵入するテストを行います。

ペネトレーションテスト
(侵入テスト)は

こんな方におすすめ

  • CSIRTの対応能力を向上させたい
  • SOCの検知の精度を確認したい
  • パスワード強化など社内のセキュリティ意識の向上を図りたい

ペネトレーションテスト(侵入テスト)の
3つの特長

導入済みの防御機構/体制/ログ機能を検証し、実際の脅威から効果的な対策へ変革させる

01現状のセキュリティ対策、体制のリスク評価ができる

業務に影響がない範囲で疑似攻撃を行い、想定脅威を明らかにします。現在導入している防御機構で防げること、防げないことなどの結果から、現状のセキュリティ対策や体制面がどの程度機能するかのリスク評価を判定します。

02セキュリティ対策の投資判断とROIを見積りやすくなる

ゴール設定した機密情報までの到達が可能かを検証し、その脅威に対し正しく防御できているかを確認できます。想定脅威に対し、防御できている箇所や不足している箇所を確認できるため、組織にとって必要なセキュリティ対策コストを見積もりやすくなります。

03社内のセキュリティに対する意識を高める

疑似攻撃により、ゴール設定した機密情報などに、到達したという実証は、関係者への心理的なインパクトを残します。サイバーセキュリティにおいて、防御側よりも攻撃側が有利という事実の理解にもつながり、社内のセキュリティに対する意識を高めます。

脆弱性診断との違い

ペネトレーションテスト 脆弱性診断
WHY
なぜテストするのか
攻撃者が脆弱性を悪⽤することで、目的を達成できるか実際に検証する。 単一のシステムに対して脆弱性を大小問わずに洗い出したい。
HOW
どんな手法で?
実際の攻撃者役として診断員がツールや脆弱性の利⽤、ソーシャルエンジニアリングなどのハッカーが活⽤する攻撃⼿⼝で対象とする企業の機密情報まで到達できるか調査を⾏います。 OWASPトップ10など⼀般的に既知となっているよくある脆弱性を中⼼にツールと⼈的な⼿順に従って網羅的に調査します。
WHAT
調査対象の範囲は?
広義のシステム(インフラ、⼈、組織、ルール)
※主に運⽤(Ops)中のシステム向き。
狭義のシステム(Webアプリケーション、IPアドレスなど)
※主に開発(Dev)後のアプリケーション向き。
WHAT
どんな診断レポートか?
想定した脅威のゴール達成までに至る侵入経路、攻撃手法、侵入に利用した脆弱性情報、今後の改善策 発⾒された脆弱性を⼀覧化した上でのリスク評価、脆弱性の詳細説明、今後の改善策
WHO
どんな企業・組織向きか?
情シスやCSIRTが企業内に存在し、脆弱性診断を実施したことがある組織。 情報流出によるリスクを懸念している企業全般。
WHEN
どのくらいの頻度で実施するのか
年1,2回 開発・アップデート後
HOW LONG
どれくらいの期間か?
実施期間を確定してから調査します。期間の⽬安は、1週間〜数ヶ⽉。 診断対象のボリューム(セッション数など)を確定してから調査します。期間の⽬安は1週間〜。

ペネトレーションテスト
(侵入テスト)の

診断フロー

 
  1. 01

    御要望の想定脅威の確認

    イエラエセキュリティにご連絡

  2. 02

    オンラインミーティング

    サービス選定・スコープ定義・工数期間・概算見積もり・実行判断

  3. 03

    必要工数の算出

    サービス仕様・スケジュール・詳細見積金額を提出

  4. 04

    診断実施

    診断員がツールと手動で診断します

  5. 05

    報告書提出・ご報告会

    診断完了後に報告書を提出

    診断実施後、約10営業日で報告書を提出します。
    ※条件により期間は変わります。

セキュリティ診断の結果や行うべき対策が分かる
セキュリティ診断レポートサンプルをお送りします
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

ペネトレーションテスト(侵入テスト)
診断レポートサンプル

発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。

ペネトレーションテスト(侵入テスト)の
価格

対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

ペネトレーションテスト
(侵入テスト)について
もっと詳しく知りたい方はこちら

その他のサービス一覧

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか