• Cybersecurity Professional service

    世界最高水準のペネトレーションテストを提供

    今すぐにテストしたい、そのニーズを叶えます

  • Our Service

    サイバークライムから企業を守るために必要なホワイトハッカーがいます

    ペネトレーションテスト

    Penetration test

    ペネトレーションテスト(通称ペンテスト)とは、コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法です。特に、ネットワーク接続された情報システムが外部からの攻撃に対して安全かどうか、実際に攻撃手法を試しながら安全性の検証を行います。不正に侵入できるかどうかだけでなく、DoS攻撃にどのくらい耐えられるか、社員のIDで社長のIDに不正侵入できるかを調べたり、侵入された際にそこを踏み台にして他のネットワークを攻撃できるかを調べたりすることもできます。

    フォレンジックサービス

    forensics

    デジタルフォレンジックとは、不正アクセスや機密情報漏洩などのサイバー犯罪や、サイバーテロが発生した際に、犯罪経路や目的や犯人、盗まれたものや法的証拠などを明らかにする技術です。「デジタル鑑識」とも言われます。
    フォレンジックは、サイバー攻撃を受けた後に、

    • その犯罪がどのような脆弱性を通って行われたか(手法解析)
    • どこの誰が何の目的で行ったか(犯人特定動機特定)
    • どこまでの被害を受けているか(実態調査)

    などを行うため、調査(捜査)という意味合いを強く持ちます。そして、APT攻撃などに多い、二次被害、三次被害を食い止めるためにも行いますので、悪の連鎖を最小限で断ち切る意味合いも持ちます。

  • ペネトレーションテストプロジェクト

    企業を守るための最初の一歩

    セキュリティ攻撃

    APT攻撃に対応する準備はできていますか

    エリートハッカーは、非常に巧妙に、そして鍛え上げられた実力をフルに活用して、容赦なく攻撃をしかけてきます。脆弱性のあるシステムを利用し続けている場合、訓練を受けた、たった1人のエリートハッカーが、たった1台のパソコンから発した命令によってこのような被害があります。

    • 機能不全(サイト、サーバー、機能停止状態)に陥ります
    • 社員や会社の情報が持ち出されます
    • 顧客データ、ID/PASSが流出します
    • 開発中の新製品の情報が盗まれます
    • 気づかぬうちに、定期的に社外秘情報をのぞかれます

    テストのタイプ

    外部からの攻撃対策のみならず、内部でセキュリティ問題が発生した場合についても検討が必要です

    1. BLACK-BOXテスト:システムの内部構造とは無関係に、外部から見た機能を検証します。
    2. Gley-BOXテスト:システムの管理者IDを利用して、内部社員の協力が得られたらどこまで不正ができるか確認します。
    3. WHITE-BOXテスト:システム内部の構造を理解した上でそれら一つ一つが意図した通りに動作しているかを確認します。

    WEBアプリケーションテスト

    まずは、外部との接点であるWEBサイトから

    自社開発自動ソフトと専門家の手作業を繰り返して行い、脆弱性を検出します。基本的にOWASP基準になっている項目はすべてチェックし、それに加え、熟練の技術者の経験からくる勘や、鋭い感性から織りなす複合的なアイデアを用いて、侵入実験を行います。テスト対象とする脅威の例は下記の通りです。

    • SQL Injection
    • Cross-Site Scripting
    • Content Spoofing
    • OS Commanding
    • 認証(authentication)と承認(authorization)の不具合で生じる脆弱性
    • その他

    テスト項目例

    複合的なペンテストが必要です。

    テスト対象のシステムの例は下記の通りです。

    • 重要インフラシステム
    • 社内の基幹システム
    • ポータルサイト(portal site)
    • ウェブサイト(website)
    • サービス管理インターフェイス(interface of service control)
    • CRMとERPシステムの外部WEBインターフェイス
    • インターネットクライアントバンクシステム
    • 請求システム(ビリングシステム)
    • マルチレベルの認証システム(multilevel authentication systems)
    • 不正防止システム(anti-fraud systems)
    • その他
  • お問い合わせ

    ご不明な点やご質問がありましたら、ぜひお気軽にご連絡ください。

All Posts
×