ペネトレーションテスト

考えられる攻撃箇所に対し実際にハッカーが⽤いる戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテスト

いまや多くの企業や組織は多層防御によるセキュリティ対策を実施しています。しかしながらサイバーセキュリティは防御側より攻撃側が有利であり明確な目的を持って組織的に、戦略的に、かつ計画的に攻撃してくる傾向があると多くの専門家が指摘をしております。このような状況化におけるセキュリティ診断は従来のリスクの可視化（脆弱性診断）から、より実戦的な攻撃手法を用い、どのような脅威が潜んでいるのかを調査する方法（ペネトレーションテスト）が注目されはじめております。
ペネトレーションテストは脆弱性診断と異なり、考えられる攻撃箇所に対し実際にハッカーが用い戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテストとなります。加えて、このテストを通じてセキュリティ機能の有効性やセキュリティ耐性を理解することにも役立ち、有益な取組みでもあります。
弊社のペネトレーションテストは、ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け（ネットワーク、アプリケーション）、組込みシステム向けなどに分類され、目的や用途に合わせて実施できます。また様々なシナリオを元に、攻撃者が実行する仮説を立てて模擬ハッキングによる実践的なテストを実施することも可能です。

提供可能なペネトレーションテスト

ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。ペネトレーションテストには、Blackbox型、Whitebox型、シナリオ型、脅威リード型(LTPT)がありますが、以下のテストをメインに提供しております。

ネットワークペネトレーションテスト

• PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
• ユーザ要望に基づく複数の攻撃シナリオよるペネトレーションテスト
• ⾃社保有の模擬ハッキング⽅法論による実施と管理

Webペネトレーションテスト

• 公開Webアプリケーションをターゲットとしたペネトレーションテスト
• 対象アプリケーションのInformation Gatheringと脆弱性の探索
• 攻撃シナリオの組み立てと攻撃ツールの構築、発見した脆弱性に対して攻撃者が用いる攻撃ツールで攻撃を試みる(アプリケーションの脆弱性を攻撃、データの改ざん/流出の可能性、セキュリティシステムを迂回など)

PCI DSS向けペネトレーションテスト(ネットワーク、アプリケーション)

• PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
• 自社保有の模擬ハッキング方法論による実施と管理
• PCI DSSレポートガイドランに沿ったレポート

組込みシステムに対するペネトレーションテスト

• 主にバックドア分析（Hardware, Firmware, Kernel, Boot Loader, Driverなど）
• リバースエンジニアリングによる分析（Disassemble, JTAG, CHIP-OFFなど）
• 自社保有の模擬ハッキング方法論による実施と管理