ペネトレーションテスト
サービス内容
脆弱性診断で検出した脆弱性を組合わせた
複合的な「手作業」による疑似攻撃での耐性評価
ネットワーク脆弱性スキャナによる検査を実施し、脆弱性の列挙を行うことに加えて、以下のような検査を行います。
-
ユーザが設定した脆弱なパスワードの検出
-
発見された脆弱性の組み合わせを利用した、複合的な問題の検出
-
踏み台として他のホストを攻撃される可能性の検査
-
攻撃コードを利用したサーバの権限奪取
-
脆弱性を利用することにより不正侵入可能であることが判明したサーバにおける権限昇格
ペネトレーションテストではサーバ単体の脆弱性の列挙にとどまらず、実際の攻撃と同様の検査を実施するため検査対象サーバが攻撃を受けた場合の耐性評価も行うこと可能です。当社のペネトレーションテストは、民間企業・中央官庁・地方自治体・独立行政法人等の検査実績100件以上の経験を持つ技術者が実施します。
※ペネトレーションテストはプラットフォーム部分に対する検査となります。Webアプリケーション部分に対するペネトレーションテストはWebアプリケーション診断にて対応いたします。
スキャナ検査とペネトレーションテストの比較
脆弱性スキャナによる検査 | ペネトレーションテスト | |
---|---|---|
検査効率 | ○ | △ |
検査の網羅性 | ○ | ◎ |
検査の精度 | △ | ○ |
脆弱性スキャナによる検査はソフトウェアを利用した検査のみを実施します。低コストかつ短期間で検査を実施することが可能です。ただし、ネットワーク経由で取得可能な情報をもとにして脆弱性の分析を行うため、発見できない脆弱性も存在します。脆弱性スキャナによる検査は、これまで検査を実施したことがないお客様や、低コストで効率よくシステムのセキュリティレベルを把握したいお客様にお勧めいたします。
ペネトレーションテストは、脆弱性スキャナによる検査に加えて、検査者の手作業による検査を行います。脆弱性スキャナでは発見できない、複合的な問題の検査を行うため、システムに存在する脆弱性を現状のセキュリティリスクに即した形で把握することが可能となります。ペネトレーションテストは、高度なセキュリティレベルを求めるお客様にお勧めいたします。
サービスの特長
攻撃者と同等の疑似攻撃を実施
高度なセキュリティレベルに対応
ペネトレーションテストの成果は、技術者がどのようなツールを用いて、どのような手法によりテストを行うかによって異なります。当社のペネトレーションテストでは、脆弱性の検出精度や疑似攻撃の成功率をあげるため多数のツールを自社開発し利用しています。ペネトレーションテストでは、主に海外で開発されたツールを利用することが一般的ですが、それらのツールは英語圏のシステム、英語圏の利用者を対象としたものです。
例えば、英語圏の利用者をターゲットとして作成されたパスワード解析用のツールは、英語の単語をパスワードとして解析することが多く、日本の利用者をターゲットとしたパスワード解析には有効ではありません。当社のペネトレーションテストでは、パスワード解析する際には独自に作成した日本語の単語、日本の利用者が頻繁に利用するパスワードのリストを作成し、それをもとにテストを行っています。そのため、海外のペネトレーション用ツールをそのまま利用しただけでは得られない高い疑似攻撃の成功率が得られています。