貴社の脆弱性診断では実際に侵入行為を行なうのですか？貴社の「疑似」侵入検査と実際の侵入の違いが良くわかりません。（リアルハッキング？）

一言で申し上げますと、「擬似」侵入検査ではお客様のシステムに対して「実害を及ぼさない範囲」で、検出した脆弱性の「確からしさ」を検証することを第一の目的としています。

一例としまして、検査会社の中には検査前に確認を行った対象以外のホストにアクセスして情報の一部を書き換え、それによって検査対象ホストに侵入すると言った「ビーチフラッグ」的な「侵入することを主たる目的とする」行為を行う検査会社があるようです。
しかし弊社では、あらかじめ取り決めた検査対象以外のお客様のホストにアクセスすることはございませんし、「侵入することを主たる目的」とするのではなく、「脆弱性の検出を目的」とした攻撃（=検査項目）を実施致します。
また別の例として、（前文の後半部分に関連しますが）推測可能なパスワードが設定されているという脆弱性が検出された場合、そのパスワードを使って認証サービスにログインした後、ファイルを改ざんしたりサービスを停止して見せる等、「どこまで悪さが出来るか」を試す検査会社もあると聞いています。しかし弊社ではこの場合、判明したパスワードを使ってログインできるところまでは検証致しますが、推測可能なパスワードが設定されているという脆弱性に対処する（暫定対策及び恒久対策）事がお客様にとっては最優先課題であると考えますので、その後のファイルの書き換えやサービス停止といった実害を及ぼす検査は、一切致しません。

脆弱性スキャナのレポート分析により脆弱性が明らかになると思いますが、疑似侵入試行を行うことにより、具体的には何がわかるのですか？（脆弱性がもたらす脅威を実証するため？）

弊社でもスキャナを使用していますが、スキャナは自動ツールであるが故、一般的に次の3つの短所を持っています。
①誤検出（False Positive）
②検出結果の整理が出来ない
③検出モレ (False Negative)
したがいまして、レポート分析後の擬似侵入の試行プロセスにあたっては、上記の短所を手動検査によって補うことにより、より精度の高い脆弱性の検出結果を得ることを目的としています。

①誤検出（False Positive）
ツールは積極的に間違えます。つまり、実際には脆弱ではないものを脆弱であると検出してしまいます。

②検出結果の整理が出来ない
パターンマッチング処理により、脆弱であると判断した事象を全て機械的に報告しますので、事象間の関連性を整理することが出来ず、一つの対策で解決する脆弱性であったとしても、複数の脆弱性として検出してしまいます（例：1個の脆弱性を30個として報告してしまう等）。

③検出モレ (False Negative)
ツールにはお客様固有の情報（Whois情報やホームページで一般公開されている情報等）を認識することは勿論の事、検査対象システムの機器構成を認識することができません。よって、会社名がパスワードになり得たり、検査の過程で判明する「対象ホストAを踏み台にした対象ホストBへの攻撃の可能性」と言った（人間であれば直感的にわかる部分を）脆弱性の検出の手段として利用することができません。

ここで、脆弱性について整理しますと、「脆弱性」とは不正アクセス（=攻撃、侵入行為）等の「脅威」と結びついて「実害」となり得るポテンシャルな弱点のことです。
　　脅威　＋　脆弱性　＝　実害
ところが、検査の中でお客様のシステムに実害を出す訳には参りません。

したがいまして、侵入検査によって脆弱性を検出し、優先順位を付けて対策していただく訳ですので、検査では「実害」を出さない範囲で擬似侵入試行を行うことにより、お客様システム内に潜在的に存在する脆弱性を「精度良く」検出する必要があるのです。これには高い技術力が要求されます。

繰り返しになりますが、侵入検査は手動検査により「リアルな攻撃」をやり過ぎてもいけませんし、逆にツールだけに頼ってしまっては確実でモレの無い検査を実施することが出来ません。換言しますと、前者はお客様による検査後の（余計な）復旧コストをかけることになり、後者は無駄な対策コストをかけてしまうことになります。弊社としましては、『高い技術力に裏付けされた、より品質の高い検査』をご提供することによって『より精度の高い結果』をお伝えし、結果としてお客様における『より効果的な対策』につなげていただくことを第一に考えております。

優秀なハッカーが一人いれば診断サービス自体が高い品質を保てると思いますが、何故、診断サービスにQMS（ISO9001の品質認証）が必要なのですか？

もしも、優秀なハッカーをより多く集め、それぞれが得意分野とする能力を効率的に引き出す事ができる組織としての「チーム」を構成することが出来れば、堅牢なシステムを対象としたハッキングが成功する確率は確かに高まると思います。この点に関しては異論はございません。
但し、上記の仮定とご質問の想定とはかなり隔たりがありますので、乖離部分に関して補足致します。

①優秀なハッカーとは？　その人数は（一人または少数）？
ハッカーの優秀さを定義することが難しく、ハッキングコンテストの成績上位者、情報セキュリティの資格保有者、または有名なセキュリティ研修の受講者など、各社独自に定義されているのが現状です。一昔前のことですが、ハッキングの逮捕暦がある者を採用していることで技術力をアピールしている会社もありました。仮に優秀とされるハッカーがいたとしても、1〜2名では定められた検査期間内にどれだけの規模の検査を実施できるのでしょうか？仮にオンサイト検査であったとして、一人で漏れなく手動検査を一日（8時間）に10IP検査できるかは疑問です。しかも、優秀なハッカーであれば引く手数多であるが故、同じ場所の検査を長く引き受けることはせずに、同時期に何箇所も「掛け持ち」をすることも多いようです。

②得意分野の把握？（適材適所の配置が必要？）
優秀なハッカーであっても、Solarisに強いだとかLinuxに強いだとか、得手不得手はあります。検査対象情報を予め入手して適材適所に担当者をアサインできればパフォーマンスは上がるかも知れませんが、ブラックボックス診断では、そうはいきません。

③効率的に能力を引き出すには？
検査とハッキングの最も大きな違いは、検出する脆弱性の「網羅性」であると考えます。ある1台のサーバに潜在的な脆弱性が20個存在したとすれば、何度検査しても同じ結果（20個検出）が得られなければなりません。気分次第で20個検出できる時もあれば、15個だったり、危険度の高いもののうちで見つけ易いものだけを検出したのでは、検査サービスの対価としては意味がありません。弊社では、網羅性を確保する為には検査員の個々のスキルに左右されない標準検査手順書が必要と考えています。

④脆弱性の検出のみで良いのか？　対策は？報告内容は？
脆弱性は検出できるものの、お客様の立場に立って効率的かつ現実的な対策を示すことができない検査会社があると聞きます。自動検査ツールが出力する結果をそのまま使っていることが原因のようです。弊社では検出される個々の脆弱性に対し、弊社の言葉で噛み砕いて書き下ろした一品一様の説明内容を用意しており、対策についても可能な限り、お客様の環境に合った形の対策内容を示しています。

⑤ハッキング　VS　診断サービス？
診断サービスは本番稼動環境に対して実施することが多い為、稼動サービスに影響を与えずに（安全第一）、しかも対象システムに内在する脆弱性のすべてを洗い出して対策案を提示する必要があると考えます。ブラックボックス診断はある意味で非破壊検査の要素を持っていますので、破壊せずに「寸止め」の状態で、可能な限り精度の高い脆弱性の検出スキルが要求されます。一方、ハッキング行為の中では脆弱性の有無を確認する際に稼動サービスに影響を与えないとも限りませんし、恐らく、お客様の立場に立った対策を第一に考えるよりは「こんなに凄い事が出来てしまう」という攻撃者の視点で、危険度の高い脆弱性の検出ばかりに注力されることはないでしょうか？

通常、このようなネットワークセキュリティ検査の質は検査員のスキル、すなわち「人」に依存しがちですが、弊社では上述した「安全で精度の高い検出スキル」に対しては豊富な経験をもとにノウハウとしての作業手順を定型化するだけでなく、新規手法を確立する際にも、検証・レビュー・妥当性確認といった標準プロセスを持っており、その結果は、単なる自動検査ツールのアウトプットとは異なる「精度の高い報告」にも活かされています。

このような意味での「技術力の高さ」を検査の品質に織り込んだ結果、検査サービスそのもの（「ネットワークセキュリティの監査及び評価」のスコープ）に対してISO9001の品質認証を現在まで継続しています。

バッファオーバーフロー攻撃やDoS攻撃のようなシステムに影響を与える検査も実施するのですか？

基本サービスである侵入検査サービスやWebアプリケーション検査サービスの中ではシステムに影響を与えるような検査は実施しません。但し、オプションとしてDoS検査項目も用意しておりますので、ご指定いただければDoS検査オプションの中ではバッファオーバーフロー攻撃やDoS攻撃も実施します。

対策を早急に行いたいので出来るだけ早く結果レポートが欲しいのですが、脆弱性診断の結果を検査当日に提供していただくことは可能ですか？

脆弱性診断の結果を速報としてご提出することは可能です。但し、速報の体裁に関してはご相談ください。

脆弱性診断を受ける場合、顧客側で準備するものは何ですか？（対象情報、環境 etc.）

大別すると、弊社よりインターネット経由で診断を実施する場合と、お客様のネットワーク環境に弊社より持ち込んだ診断専用端末を接続して実施するオンサイト診断の場合とで異なります。

①インターネット経由で診断を実施する場合
診断対象となるグローバルIPアドレス（侵入検査の場合）やURL情報（Webアプリケーション検査の場合）をいただければ、基本的には診断を実施できます。但し、Webアプリケーション検査の場合には、ログイン認証のあるWebアプリケーションでテストアカウント（ID及びパスワード）が必要になるなど、Webアプリケーションのコンテンツに応じてご準備いただく内容が異なりますのでご相談ください。

②オンサイト診断の場合
基本的には弊社より持ち込んだ診断専用端末をお客様のネットワークに接続する為の情報をご準備いただきます。具体的な情報としては貸与いただくIPアドレスのご準備（DHCPの場合であれば不要です）などですが、必要に応じてお客様側の内規にて定められた各種の申請書情報（入館申請、ネットワーク接続申請など）やセキュリティに関する規約（ウィルスチェック実施報告書の必要性など）についてもご確認いただきます。

深夜や土日祝日等、営業時間外の診断実施を依頼することは可能ですか？

可能です。

脆弱性診断に対して海外でのオンサイト診断を依頼することは可能ですか？

可能です。韓国やシンガポール等、アジア諸国を始めとする海外実績もございますし、報告書及び報告会の日・英2ヶ国語対応も可能です。インターネット経由の診断も含めますと、北米・欧州・アジアで合計10カ国以上の診断実績がございます。

診断結果レポートの対応言語は？

日本語及び英語に対応しています。