ペネトレーションテストとは、サイバー攻撃者による攻撃を想定して、実際にシステムへの侵入等が可能かを検証するテストです。ホワイトハッカーが攻撃者の視点でネットワークやシステムの脆弱性を利用し、様々な侵入経路から疑似的な攻撃を仕掛けます。侵入に成功した場合には、どのレベルの情報まで搾取・改ざんできるのかを検証し、セキュリティ対策の有効性や被害範囲、改善点を顕在化させます。実際の攻撃者が攻撃を仕掛ける前に、システム・ネットワークの弱点を見つけ出し、想定される攻撃による被害を予防するために有効な手段です。
セキュリティを熟知した当社のホワイトハッカーが、実際のサイバー攻撃と同じ手段を用いてテストを行います。攻撃者によってシステムに侵入可能かどうか及び、もし侵入可能だった場合はその経路だけでなく侵入された場合の被害範囲まで確認することができます。「パスワードを不正に入手できるか」「ホストの脆弱性を利用し、外部から社内システムに侵入できるか」など、ご希望やご予算に応じたテストシナリオを柔軟に作成し、テスト実行後には対象システムの利用用途やユーザー、最新のセキュリティ情報などを踏まえた詳細な報告書を提出します。
柔軟な対応力
対象のシステムに
応じた結果報告
ホワイトハッカー
によるテスト
ヒアリングをさせていただき、最適なテストシナリオを作成させていただきます。
様々な攻撃手法を用い、シナリオの目的達成のためのテストを行います。
テストの結果及び、テスト中に見つかった脆弱性について報告書にまとめお送りいたします。
対象のホストのサービスに対しブルートフォース攻撃を行い、不正にログイン可能かのテストを行います。エンジニアが応答状況の確認を行い、セキュリティ機器によるブロック状況等により接続元を変える等、実際の攻撃と同じようにテストを行います。
対象のホストの脆弱性を利用し、社内システムに侵入可能かをテストします。テスト時には実際の攻撃者と同じ手法を用いシステムに攻撃を行うため、対象システムのセキュリティ対策が問題ないかどうかを確認できます。
通常の診断とペネトレーションテストの違いを教えてください
通常の診断の目的は脆弱性を洗い出すことですが、ペネトレーションテストは脆弱性を利用しシナリオに沿った目的を達成できるかを目的としております。そのため、ペネトレーションテストでは、目的達成に必要のない脆弱性の検査は行いません。その代わり、ペネトレーションテストでは通常の脆弱性診断では行わない脆弱性を利用した攻撃を行いますので、システムが実際に攻撃を受けた場合の問題点である侵入経路を確認できるほか、被害範囲を確認することができます。