ペネトレーションテスト
経験豊富な診断実績や資格を有したエンジニアが、実際の攻撃者と同じ手法を用い、想定した攻撃シナリオをベースに検証を行い、脅威対策への有効性を測ります。検査結果を分かりやすくまとめ報告会でご報告いたします。ご希望により対策方法までご提案いたします。
経験豊富な診断実績や資格を有したエンジニアが、実際の攻撃者と同じ手法を用い、想定した攻撃シナリオをベースに検証を行い、脅威対策への有効性を測ります。検査結果を分かりやすくまとめ報告会でご報告いたします。ご希望により対策方法までご提案いたします。
ペネトレーションテスト(Penetration Test)とは、組織の情報システムやネットワーク、アプリケーションに対して実際に攻撃を仕掛けることで、脆弱性を発見し、攻撃者の視点でシステムを評価することで、より実践的な防御策を講じることが可能になるセキュリティ評価手法です。
脆弱性診断とペネトレーションテストはどちらもシステムのセキュリティを評価する手法ですが、目的やアプローチ、深さが異なります。
脆弱性診断の目的は「脆弱性の検出」であり、安全性に配慮した方法を取った表面的なチェックです。ペネトレーションテストはそれとは異なり、「現実的な攻撃経路を発見すること」を目的とします。攻撃者と同じ手法を用いた攻撃や認証突破を試みます。そのため、本当に侵入されないか?情報は漏えいしないか?まで深く掘り下げた検証をすることが可能です。
GSXの提供するペネトレーションテストでは、専門のホワイトハッカーやセキュリティチームが実際の脅威を想定したシナリオをベースに、攻撃者と同じ攻撃行為を行うことによって、お客様のセキュリティ対策の有効性を確認することができます。
GSXのペネトレーションテストでは、脆弱性調査の一環でプラットフォーム診断も実施するため、攻撃には悪用できない様な軽微な脆弱性も把握いただくことが可能です。お客様の組織情報を基に、公開情報を活用したOSINT(Open Source INTelligence)調査を行い、テスト対象以外にお客様の認識できていない侵入ポイントが存在しないか調査します。GSXの提供する「ペネトレーションテスト」を行う診断エンジニアは全員が資格取得者です。専門エンジニアがハッカーと同じ手法を用いて、精度の高い診断サービスをご提供致します。
資格を持った診断エンジニア
IPA「情報セキュリティサービス基準適合サービスリスト」に登録
- ペネトレーションテストには、プラットフォーム診断の内容が含まれます。お客様開発のWebアプリケーションの脆弱性はテストの範囲外となります。
| フェーズ | 実施項目 | 実施内容 |
|---|---|---|
| 偵察 | OSINT調査 | お客様組織の公開情報(インターネットに公開されている情報)から侵入に使用できる情報がないか、侵入の入口となるホスト・サービスが存在しないか情報収集を行います。 |
| 情報収集 | ポートスキャン | 対象ホストの開放されているTCP/UDPポート及び稼働サービスを確認します。 |
| 脆弱性調査 | 商用ツールやOSSなどを使用し、侵入に利用可能な既知の脆弱性の有無を確認します。 | |
| 認証情報の収集 | 対象ホストで稼働しているファイル共有サービスや、侵入できたホスト内、貸与端末内などに、他ホストへの侵入や権限昇格に有用な情報が記載されたファイルが存在しないか調査します。 | |
| 攻撃 | 認証試行 | 対象ホストで稼働している認証サービスに対して、弊社独自の辞書ファイルやOSINT調査、ファイル探索などから得られた情報を利用して、ログインを試行します。 |
| 攻撃試行 | 攻撃手法が確立されている侵入に利用可能な脆弱性があった場合、実際の攻撃コードを実行します。 | |
| 侵入拡大 | 権限昇格 | 上位権限を持つユーザIDの奪取や、上位権限への昇格を試行します。 |
| 横展開 | 社内ネットワーク接続時は、どこまで侵入を拡大できるか通信可能なホスト/ネットワークを探索します。 | |
| 目的遂行 | 情報収集 | 対象ホスト(ファイルサーバなど)に存在する機密情報やファイルを収集します。 |
| 持ち出し | 外部にあるC&Cサーバやストレージなどに接続し、情報を外部に持ち出せないか試行します。 |
お客様のご希望に合わせた攻撃のシナリオでテストを行います。シナリオは大きく分けてA・B・Cの3種類があります。
料金についてはお問い合わせください。ペネトレーションテストは、お客様の環境・ご要望に応じてシナリオを検討し、お見積りさせていただきます。
