ペネトレーションテスト
経験豊富な診断実績や資格を有したエンジニアが、実際の攻撃者と同じ手法を用い、想定した攻撃シナリオをベースに検証を行い、脅威対策への有効性を測ります。検査結果を分かりやすくまとめ報告会でご報告いたします。ご希望により対策方法までご提案いたします。
経験豊富な診断実績や資格を有したエンジニアが、実際の攻撃者と同じ手法を用い、想定した攻撃シナリオをベースに検証を行い、脅威対策への有効性を測ります。検査結果を分かりやすくまとめ報告会でご報告いたします。ご希望により対策方法までご提案いたします。
ペネトレーションテスト(Penetration Test)とは、組織の情報システムやネットワーク、アプリケーションに対して実際に攻撃を仕掛けることで、脆弱性を発見し、攻撃者の視点でシステムを評価することで、より実践的な防御策を講じることが可能になるセキュリティ評価手法です。
脆弱性診断とペネトレーションテストはどちらもシステムのセキュリティを評価する手法ですが、目的やアプローチ、深さが異なります。
脆弱性診断の目的は「脆弱性の検出」であり、安全性に配慮した方法を取った表面的なチェックです。ペネトレーションテストはそれとは異なり、「現実的な攻撃経路を発見すること」を目的とします。攻撃者と同じ手法を用いた攻撃や認証突破を試みます。そのため、本当に侵入されないか?情報は漏えいしないか?まで深く掘り下げた検証をすることが可能です。
GSXの提供するペネトレーションテストでは、専門のホワイトハッカーやセキュリティチームが実際の脅威を想定したシナリオをベースに、攻撃者と同じ攻撃行為を行うことによって、お客様のセキュリティ対策の有効性を確認することができます。
GSXのペネトレーションテストでは、脆弱性調査の一環でプラットフォーム診断も実施するため、攻撃には悪用できない様な軽微な脆弱性も把握いただくことが可能です。お客様の組織情報を基に、公開情報を活用したOSINT(Open Source INTelligence)調査を行い、テスト対象以外にお客様の認識できていない侵入ポイントが存在しないか調査します。GSXの提供する「ペネトレーションテスト」を行う診断エンジニアは全員が資格取得者です。専門エンジニアがハッカーと同じ手法を用いて、精度の高い診断サービスをご提供致します。
資格を持った診断エンジニア
IPA「情報セキュリティサービス基準適合サービスリスト」に登録
- ペネトレーションテストには、プラットフォーム診断の内容が含まれます。お客様開発のWebアプリケーションの脆弱性はテストの範囲外となります。
| フェーズ | 実施項目 | 実施内容 |
|---|---|---|
| 偵察 | OSINT調査 | お客様組織の公開情報(インターネットに公開されている情報)から侵入に使用できる情報がないか、侵入の入口となるホスト・サービスが存在しないか情報収集を行います。 |
| 情報収集 | ポートスキャン | 対象ホストの開放されているTCP/UDPポート及び稼働サービスを確認します。 |
| 脆弱性調査 | 商用ツールやOSSなどを使用し、侵入に利用可能な既知の脆弱性の有無を確認します。 | |
| 認証情報の収集 | 対象ホストで稼働しているファイル共有サービスや、侵入できたホスト内、貸与端末内などに、他ホストへの侵入や権限昇格に有用な情報が記載されたファイルが存在しないか調査します。 | |
| 攻撃 | 認証試行 | 対象ホストで稼働している認証サービスに対して、弊社独自の辞書ファイルやOSINT調査、ファイル探索などから得られた情報を利用して、ログインを試行します。 |
| 攻撃試行 | 攻撃手法が確立されている侵入に利用可能な脆弱性があった場合、実際の攻撃コードを実行します。 | |
| 侵入拡大 | 権限昇格 | 上位権限を持つユーザIDの奪取や、上位権限への昇格を試行します。 |
| 横展開 | 社内ネットワーク接続時は、どこまで侵入を拡大できるか通信可能なホスト/ネットワークを探索します。 | |
| 目的遂行 | 情報収集 | 対象ホスト(ファイルサーバなど)に存在する機密情報やファイルを収集します。 |
| 持ち出し | 外部にあるC&Cサーバやストレージなどに接続し、情報を外部に持ち出せないか試行します。 |
お客様のご希望に合わせた攻撃のシナリオでテストを行います。シナリオは大きく分けてA・B・Cの3種類があります。
ヒアリングからテストの実施、報告会の完了までの目安は約3か月です。
料金についてはお問い合わせください。ペネトレーションテストは、お客様の環境・ご要望に応じてシナリオを検討し、お見積りさせていただきます。
料金には、下記の内容が含まれます。
- シナリオ検討打合せ(3回まで)
- キックオフ (1回)
- 速報/報告書
- 報告会 (1回)
※関東地方以外のお打ち合わせはオンラインとなります
| インターネットから公開サーバへの侵入 | 公開サーバを踏台にした侵入拡大 | 感染端末から別端末への侵入拡大・機密情報取得 | 取得した機密情報の外部持ち出し | |
|---|---|---|---|---|
| テスト場所 | インターネット経由 | オンサイト | オンサイト | オンサイト |
| テスト用端末 | 当社PC | 当社PC | お客様業務PC | お客様業務PC |
| テスト時間帯 | 当社営業時間内 | 項目 | 当社営業時間内 | 当社営業時間内 |
| 参考価格 | ¥750,000 | 対象IP数 | ¥1,800,000 | ¥600,000 ※B-1と同時実施想定 |
御見積をご依頼の際は、実施するシナリオ内容のご希望と、各シナリオ毎の条件(下記項目)をご教示ください。
| 確認項目 | 説明 |
|---|---|
| 対象のIP数 |
ネットワーク機器/Webサーバ/クライアント ※対象IPアドレスが1個でも、複数経路から診断を実施する場合は経路毎にカウントします。 |
| テスト場所 | インターネット経由 or オンサイト |
| テスト用端末 |
当社PC or お客様業務PC(PC上に診断環境を構築) ※お客様業務PC上の構築は、Windows 7 または 10 を想定しています。 |
| テスト時間帯 | 当社営業時間内か、それ以外か |
| 報告会 | 回数、場所(関東地方かそれ以外か) |
| 時間帯別オプション | 時間帯 |
|---|---|
| 休日日中 | 土日祝日 9-18時 |
| 休日夜間 | 土日祝日 18-22時 |
| 平日夜間 | 月-金曜 18-22時 |
| 深夜 | 22-翌9時 |
