考えられる攻撃箇所に対し実際にハッカーが⽤いる戦術やツールで模擬ハッキングに
よりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテスト

いまや多くの企業や組織は多層防御によるセキュリティ対策を実施しています。しかしながらサイバーセキュリティは防御側より攻撃側が有利であり明確な目的を持って組織的に、戦略的に、かつ計画的に攻撃してくる傾向があると多くの専門家が指摘をしております。このような状況化におけるセキュリティ診断は従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用い、どのような脅威が潜んでいるのかを調査する方法(ペネトレーションテスト)が注目されはじめております。
ペネトレーションテストは脆弱性診断と異なり、考えられる攻撃箇所に対し実際にハッカーが用い戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテストとなります。加えて、このテストを通じてセキュリティ機能の有効性やセキュリティ耐性を理解することにも役立ち、有益な取組みでもあります。
アイティーエムのペネトレーションテストは、外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向けなどに分類され、目的や用途に合わせて実施できます。また様々なシナリオを元に、攻撃者が実行する仮説を立てて模擬ハッキングによる実践的なテストを実施することも可能です。

ペネトレーションテスト

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、
また見つかった脆弱性が悪用されてしまう可能性があるかテストをします

提供可能なペネトレーションテスト

当社ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。ペネトレーションテストには、Blackbox型、Whitebox型、シナリオ型、脅威リード型(LTPT)がありますが、当社では以下のテストをメインに提供しております。

外部/内部ペネトレーションテスト

  • PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
  • ユーザ要望に基づく複数の攻撃シナリオよるペネトレーションテスト
  • ⾃社保有の模擬ハッキング⽅法論による実施と管理

※ 初めての方には、PCI DSSに基づくペネトレーションテストをお勧めしております
【参考】Payment Card Industry(PCI)データセキュリティ基準の要件 11: セキュリティシステムおよびプロセスを定期的にテストする

PCI DSS向けペネトレーションテスト(ネットワーク、アプリケーション)

  • PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
  • 自社保有の模擬ハッキング方法論による実施と管理
  • PCI DSSレポートガイドランに沿ったレポート

組込みシステムに対するペネトレーションテスト

  • 主にバックドア分析(Hardware, Firmware, Kernel, Boot Loader, Driverなど)
  • リバースエンジニアリングによる分析(Disassemble, JTAG, CHIP-OFFなど)
  • 自社保有の模擬ハッキング方法論による実施と管理

対応可能なシステムやアプリケーション

システム基盤

⾼い倫理性と⾼いハッキング技術を要するセキュリティエンジニアによる⼿動テストを実施しシステム不正侵入の可能性を探し出します

オンプレミス環境や基幹システム、産業システムなど中〜大規模システムで利用されている業務用ソフトウェアやインフラ基盤、仮想環境などが対象となります。

  • WebやWindowsアプリケーション
  • Active DirectoryやVDIシステム
  • ネットワークシステム
  • インフラストラクチャー基盤
  • パッケージソフトウェア
  • 組込みシステム

※ 上記に記載のない製品やシステムにつきましても対応可能なケースも御座いますので、お問い合わせください

ユースケース(テスト例)

ユーザ要望に基づく複数の攻撃シナリオよるテストを実施します。
具体例の一部を掲載していますので御覧ください。

サービスの特長

サービスの強み

Point1DEFCON, CODE BLUE などのハッキングコンテストで優秀な成績を持つ企業との協業による提供

ネバダ州ラスベガスで毎年開催される世界最大かつ最も注目すべきハッカー会議の1つのDEFCONや、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議のCODE BLUEなど、世界規模の大イベントで行われるハッキングコンテストで優秀な成績を納めたセキュリティエンジニア集団が所属する、専門的かつ非常に高い技術を持つ企業との協業で、品質の高いサービスを提供いたします。

Point2実際にハッカーが用いる攻撃手法を用いた実用的なテスト

ハッキングは技術だけではなく犯罪者の心理まで読み解き再現することで、より実践的なテストが実施できます。自社保有の模擬ハッキング方法論は、専門的なツールや多用な方法や体系的なものに分類され、ペネトレーションテスト内容に合わせて組み合わせて実施をすることで、犯罪者が用いる攻撃手法で実践的なテストが可能となります。

Point3バグバウンティ(Bug Bounty)やサーバ機器、ITシステム、産業システムに対する多くの国内、海外での実績

金融機関から政府機関、大手企業など

バグバウンディとは、公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハットハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度のことで、一般人による攻撃視点からのチェックが有効な目的で行われるものです。当社のペネトレーションテストを実施するセキュリティエンジニアは、技術的な好奇心を満たすことでバグバウンディにも挑戦をし実績をつくりますが、その技術を活かすことで様々なシステムの脆弱性の発見や対策を提案し、金融機関から政府機関、大手企業など数多くの実績を作ってきました。

Point4日本語、英語によるレポート、QAもサポート

ペネトレーションテストを実施する際には、様々な疑問点や不安点が生じるでしょう。当社のセキュリティエンジニアは、きめ細やかなサポートとお客さまの疑問点に対して専門的かつ丁寧な回答でわかりやすく解説をします。テスト後には、日本語、英語ともに対応したレポートを作成しご提示いたします。

導入メリット

Point1現状のセキュリティ対策(防御機能)の強度や耐性を把握できる

重要情報を保管している大規模システムを保有していると「システムの不安要素を把握したい」「防御機能が有効か確認したい」そして「防御力はどの程度の耐性があるか把握したい」など様々な不安が頭を過ぎります。ペネトレーションテストはシステムの弱点を見つけ侵入することで、今まで気が付かなかったシステム全体の観点からセキュリティの弱点を把握することができ、具体的な対策を講じることが可能です。

Point2テスト対象機器のセキュリティイベントログの検知状況が分かる

Windowsセキュリティイベントログとは、各オブジェクトで設定した監査ポリシーによって定義された各イベントが記録されることです。ペネトレーションテストのセキュリティエンジニアによる模擬ハッキングでシステムに侵入した際に、対象機器で不正な操作が検知されたか状況がわかります。

Point3模擬ハッキングによる防御側の事前訓練が行える

セキュリティインシデントの被害件数の増加、攻撃手法の多様化を考えると、これらに対する技術的対策には限界があります。標的型攻撃メールなどは、通常のアンチウイルスソフトやメールフィルタリングソフトなどでは見分けがつきにくく、迷惑メールフォルダに入らなければ受信トレイに着信してしまいます。従って、人的対策も同時に行う必要があり、疑う意識を持ち、対処法を心得ていることが求められます。システムに対する不正侵入のようなハッキング攻撃も同様のことが言えます。ペネトレーションテストでは、実際のサイバー攻撃を模した疑似攻撃をシステムに対して行い、万が一不正侵入された場合、システム担当者が対処法を実地で学んでいく訓練を実施できます。

メニュー・価格

サービス名 内容 価格
外部/内部ペネトレーションテスト テスト要件をヒヤリングのうえ具体的なテスト内容と費用をご提案 2,100,000円〜
PCI DSS向けペネトレーションテスト
(ネットワーク、アプリケーション)
組込みシステムに対する
ペネトレーションテスト

※ 表示価格は全て税抜き表示です

サービスの流れ

ヒアリングから提案、ご契約までの流れ

STEP1お客さまお問い合わせ

1営業日

当社ホームページのお問い合わせフォームから送信、もしくは当社宛にお電話にてご連絡を下さい。
当社担当者よりご連絡を致します。

STEP2当社テスト要件やシステム概要のヒヤリング

調整

お客様先へご訪問し、お客様の課題を当社担当者よりヒアリング致します。
またWeb会議システムを利用したサービス説明もできますので臨機応変な対応が可能です。

STEP3当社要件分析とテストシナリオの検討

ご連絡

お客様ご要件とヒアリング内容を元に担当営業担当者から検討内容をもとに、ご提示致します。

STEP4お客さま提案と承認

確認

当社からの提案内容をご確認いただき、ご承認をいただきます。

STEP5当社正式⾒積、今後の進め⽅のご説明

ご連絡

御見積書をご送付いたします。同時に今後の進め方のご説明を致しますので、
サービスの流れが具体的にご理解を頂ける内容となります。

STEP6お客さまご契約

送付

ご注文書とサービス利用申込書をご送付いただきます

テストの流れ

準備作業

STEP1当社実施計画書の作成

作成

目的や適用範囲、テスト概要、スケジュール、連絡先の担当者チーム体制、テスト内容、ご依頼事項、
トラブル時の対応などを、まとめた文書を作成いたします。当社から送付致しますのでご確認いただきます。

STEP2当社テスト環境の準備

ご連絡

実際にテストをする環境の準備を行います

STEP3お客さまご確認

ご連絡

テスト環境の準備が整いましたら、実施計画書と共にご確認を頂き準備完了となります。

テスト作業

STEP1当社情報収集とプロファイリング(Profiling)

調査

サーバの脆弱性、アプリケーションの脆弱性、サービスの脆弱性を探索し、テスト対象の特徴を把握/整理します。

STEP2当社分析

策定

収集された脆弱性を分析し、有効な攻撃シナリオ(攻撃方法とツール)を収集します。

STEP3当社攻撃(Attack/Exploit)

実施

準備した攻撃シナリオを実行しシステムへの侵入を試みます。この時に新たに得られるデータや情報を用いて、
新たな攻撃シナリオの組み立てを行い、よりシステムの深部へ侵入を図ります。システムやWebアプリケーションの
セキュリティ上の弱点、突破口、脆弱性をうまく利用することをエクスプロイト(Exploit)と呼びます。

STEP4当社結果分析とレポート作成

ご連絡

テスト結果を分析しレポートを作成します。
レポート送付と共にご連絡を差し上げますのでご確認頂くことになります。

テスト後

STEP1当社/お客さま報告会およびQ&A

実施

レポートを元に報告会を実施します。ご質問に対してわかりやすく解説をし回答を致します。

STEP2お客さま対策の実施

実施

見つかったシステムの脆弱性などを直し対策を実施していただきます

STEP3当社再テストの実施

実施

再度同様のテストを実施し対策がされているか確認をします

STEP3当社/お客さま終了

対策の有効性が確認されればペネトレーションテストは終了となります。

おすすめコンテンツ

このページを見た方は以下のコンテンツもご覧になっております

セキュリティ診断・脆弱性診断サービス

SiteScanシリーズ

お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0WebSiteScanWebSiteScanProの3つのシリーズよりお選びいただけます。

モバイルアプリ向けセキュリティサービス

AppChecker/AppChecker Pro/AppProtect

モバイルアプリは、小売、銀行、旅行、ファストフードなど様々な業種で利用が広がっています。特に昨今はモバイル端末を使ったキャッシュレス決済が注目を集めています。モバイルデバイスの利用用途が拡大し、個人情報や現金同様の支払い機能を有することによって、サイバー犯罪の対象としてハッキングの脅威は高まり、モバイルアプリに絡んだ不正利用や不正アプリによる被害が増加し続けています。
アイティーエムは、モバイルデバイスの新たなる領域への拡大と、それに伴うモバイルアプリへの求められる強固なセキュリティ対策としてモバイルアプリ向けセキュリティサービスを提供します。

Web改ざん検知

GRED Web改ざんチェック Cloud

JavaScript の変化を見ることにより改ざん検知する「スクリプト変化検知エンジン」、HTML 内の 特定タグsrc 属性や href 属性変化を検知する「リンクタグエンジン」を実装。

Webサイトセキュリティずっと安心パック

脆弱性診断、Web改ざん検知、運用監視サービス

入り口対策としての脆弱性診断と、Webの健全性を確認するWeb改ざんチェックをワンセットにし、さらに運用監視サービスまでをパッケージにして提供することによって、お客様の負荷を軽減しながら継続的なWebサイトセキュリティ対策を実現します。

SSLサーバ証明書

サイバートラスト、グローバルサイン、シマンテック

Webサイトの全ページをHTTP化する常時SSLの必要性が高まっています。
Googleは2018年7月リリースのChrome68から、「https」ではなく「http」で配信されているすべてのページに対して、通信が安全ではないことを通知するラベルを表示しています。

Webアプリケーションファイアウォール

Scutum

外部からの通常のインターネットからの正常な通信上は何も影響はありません。一方内部からの運用上の管理等はSaaS型サービスなので何も意識をすることなくシステムをご利用いただけます。
Scutumは外部からの標的型攻撃などの危険な不正アクセス、内部からのウイルス拡散等による情報漏えい事故を未然に防止します。

標的型攻撃メール訓練サービス

Security Blanket MT

悪意のある迷惑メール(スパムメール)を誤って開封し添付ファイルを開いたり、メール内のリンクを踏んでしまい、パソコンやスマートフォンがウイルスに感染してしまうことを事前に防止をするメールトレーニングサービスです。

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30