考えられる攻撃箇所に対し実際にハッカーが⽤いる戦術やツールで模擬ハッキングに
よりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテスト

いまや多くの企業や組織は多層防御によるセキュリティ対策を実施しています。しかしながらサイバーセキュリティは防御側より攻撃側が有利であり明確な目的を持って組織的に、戦略的に、かつ計画的に攻撃してくる傾向があると多くの専門家が指摘をしております。このような状況化におけるセキュリティ診断は従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用い、どのような脅威が潜んでいるのかを調査する方法(ペネトレーションテスト)が注目されはじめております。
ペネトレーションテストは脆弱性診断と異なり、考えられる攻撃箇所に対し実際にハッカーが用い戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテストとなります。加えて、このテストを通じてセキュリティ機能の有効性やセキュリティ耐性を理解することにも役立ち、有益な取組みでもあります。
アイティーエムのペネトレーションテストは、ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向けなどに分類され、目的や用途に合わせて実施できます。また様々なシナリオを元に、攻撃者が実行する仮説を立てて模擬ハッキングによる実践的なテストを実施することも可能です。

ペネトレーションテスト

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、
また見つかった脆弱性が悪用されてしまう可能性があるかテストをします

提供可能なペネトレーションテスト

当社ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。ペネトレーションテストには、Blackbox型、Whitebox型、シナリオ型、脅威リード型(LTPT)がありますが、当社では以下のテストをメインに提供しております。

ネットワークペネトレーションテスト

  • PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
  • ユーザ要望に基づく複数の攻撃シナリオよるペネトレーションテスト
  • ⾃社保有の模擬ハッキング⽅法論による実施と管理

※ 初めての方には、PCI DSSに基づくペネトレーションテストをお勧めしております
【参考】Payment Card Industry(PCI)
(※ PCIDSSのページを参照)データセキュリティ基準(99p)要件 11:セキュリティシステムおよびプロセスを定期的にテストする

Webペネトレーションテスト

  • 公開Webアプリケーションをターゲットとしたペネトレーションテスト
  • 対象アプリケーションのInformation Gatheringと脆弱性の探索
  • 攻撃シナリオの組み立てと攻撃ツールの構築、発見した脆弱性に対して攻撃者が用いる攻撃ツールで攻撃を試みる(アプリケーションの脆弱性を攻撃、データの改ざん/流出の可能性、セキュリティシステムを迂回など)

PCI DSS向けペネトレーションテスト(ネットワーク、アプリケーション)

  • PCI DSS要件11.3等ガイドラインに基づくペネトレーションテスト
  • 自社保有の模擬ハッキング方法論による実施と管理
  • PCI DSSレポートガイドランに沿ったレポート

組込みシステムに対するペネトレーションテスト

  • 主にバックドア分析(Hardware, Firmware, Kernel, Boot Loader, Driverなど)
  • リバースエンジニアリングによる分析(Disassemble, JTAG, CHIP-OFFなど)
  • 自社保有の模擬ハッキング方法論による実施と管理

対応可能なシステムやアプリケーション

システム基盤

⾼い倫理性と⾼いハッキング技術を要するセキュリティエンジニアによる⼿動テストを実施しシステム不正侵入の可能性を探し出します

オンプレミス環境や基幹システム、産業システムなど中〜大規模システムで利用されている業務用ソフトウェアやインフラ基盤、仮想環境などが対象となります。

  • WebやWindowsアプリケーション
  • Active DirectoryやVDIシステム
  • ネットワークシステム
  • インフラストラクチャー基盤
  • パッケージソフトウェア
  • 組込みシステム

※ 上記に記載のない製品やシステムにつきましても対応可能なケースも御座いますので、お問い合わせください

サービスの特長

サービスの強み

Point1DEFCON, CODE BLUE などのハッキングコンテストで優秀な成績を持つ企業との協業による提供

ネバダ州ラスベガスで毎年開催される世界最大かつ最も注目すべきハッカー会議の1つのDEFCONや、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議のCODE BLUEなど、世界規模の大イベントで行われるハッキングコンテストで優秀な成績を納めたセキュリティエンジニア集団が所属する、専門的かつ非常に高い技術を持つ企業との協業で、品質の高いサービスを提供いたします。

Point2実際にハッカーが用いる攻撃手法を用いた実用的なテスト

ハッキングは技術だけではなく犯罪者の心理まで読み解き再現することで、より実践的なテストが実施できます。自社保有の模擬ハッキング方法論は、専門的なツールや多用な方法や体系的なものに分類され、ペネトレーションテスト内容に合わせて組み合わせて実施をすることで、犯罪者が用いる攻撃手法で実践的なテストが可能となります。

Point3バグバウンティ(Bug Bounty)やサーバ機器、ITシステム、産業システムに対する多くの国内、海外での実績

金融機関から政府機関、大手企業など

バグバウンディとは、公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハットハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度のことで、一般人による攻撃視点からのチェックが有効な目的で行われるものです。当社のペネトレーションテストを実施するセキュリティエンジニアは、技術的な好奇心を満たすことでバグバウンディにも挑戦をし実績をつくりますが、その技術を活かすことで様々なシステムの脆弱性の発見や対策を提案し、金融機関から政府機関、大手企業など数多くの実績を作ってきました。

Point4日本語、英語によるレポート、QAもサポート

ペネトレーションテストを実施する際には、様々な疑問点や不安点が生じるでしょう。当社のセキュリティエンジニアは、きめ細やかなサポートとお客さまの疑問点に対して専門的かつ丁寧な回答でわかりやすく解説をします。テスト後には、日本語、英語ともに対応したレポートを作成しご提示いたします。

導入メリット

Point1現状のセキュリティ対策(防御機能)の強度や耐性を把握できる

重要情報を保管している大規模システムを保有していると「システムの不安要素を把握したい」「防御機能が有効か確認したい」そして「防御力はどの程度の耐性があるか把握したい」など様々な不安が頭を過ぎります。ペネトレーションテストはシステムの弱点を見つけ侵入することで、今まで気が付かなかったシステム全体の観点からセキュリティの弱点を把握することができ、具体的な対策を講じることが可能です。

Point2テスト対象機器のセキュリティイベントログの検知状況が分かる

Windowsセキュリティイベントログとは、各オブジェクトで設定した監査ポリシーによって定義された各イベントが記録されることです。ペネトレーションテストのセキュリティエンジニアによる模擬ハッキングでシステムに侵入した際に、対象機器で不正な操作が検知されたか状況がわかります。

Point3模擬ハッキングによる防御側の事前訓練が行える

セキュリティインシデントの被害件数の増加、攻撃手法の多様化を考えると、これらに対する技術的対策には限界があります。標的型攻撃メールなどは、通常のアンチウイルスソフトやメールフィルタリングソフトなどでは見分けがつきにくく、迷惑メールフォルダに入らなければ受信トレイに着信してしまいます。従って、人的対策も同時に行う必要があり、疑う意識を持ち、対処法を心得ていることが求められます。システムに対する不正侵入のようなハッキング攻撃も同様のことが言えます。ペネトレーションテストでは、実際のサイバー攻撃を模した疑似攻撃をシステムに対して行い、万が一不正侵入された場合、システム担当者が対処法を実地で学んでいく訓練を実施できます。

ユースケース(テスト例)

ユーザ要望に基づく複数の攻撃シナリオよるテストを実施します。具体例の一部を掲載していますので御覧ください。

メニュー・価格

ペネトレーションテストの価格は価格表ページを御覧ください。

サービスの流れ

ヒアリングから提案、ご契約までの流れ

STEP1お客さまお問い合わせ

1営業日

当社ホームページのお問い合わせフォームから送信、もしくは当社宛にお電話にてご連絡を下さい。
当社担当者よりご連絡を致します。

STEP2当社テスト要件やシステム概要のヒヤリング

調整

お客様先へご訪問し、お客様の課題を当社担当者よりヒアリング致します。
またWeb会議システムを利用したサービス説明もできますので臨機応変な対応が可能です。

STEP3当社要件分析とテストシナリオの検討

ご連絡

お客様ご要件とヒアリング内容を元に担当営業担当者から検討内容をもとに、ご提示致します。

STEP4お客さま提案と承認

確認

当社からの提案内容をご確認いただき、ご承認をいただきます。

STEP5当社正式⾒積、今後の進め⽅のご説明

ご連絡

御見積書をご送付いたします。同時に今後の進め方のご説明を致しますので、
サービスの流れが具体的にご理解を頂ける内容となります。

STEP6お客さまご契約

送付

ご注文書とサービス利用申込書をご送付いただきます

テストの流れ

準備作業

STEP1当社実施計画書の作成

作成

目的や適用範囲、テスト概要、スケジュール、連絡先の担当者チーム体制、テスト内容、ご依頼事項、
トラブル時の対応などを、まとめた文書を作成いたします。当社から送付致しますのでご確認いただきます。

STEP2当社テスト環境の準備

ご連絡

実際にテストをする環境の準備を行います

STEP3お客さまご確認

ご連絡

テスト環境の準備が整いましたら、実施計画書と共にご確認を頂き準備完了となります。

テスト作業

STEP1当社情報収集とプロファイリング(Profiling)

調査

サーバの脆弱性、アプリケーションの脆弱性、サービスの脆弱性を探索し、テスト対象の特徴を把握/整理します。

STEP2当社分析

策定

収集された脆弱性を分析し、有効な攻撃シナリオ(攻撃方法とツール)を収集します。

STEP3当社攻撃(Attack/Exploit)

実施

準備した攻撃シナリオを実行しシステムへの侵入を試みます。この時に新たに得られるデータや情報を用いて、
新たな攻撃シナリオの組み立てを行い、よりシステムの深部へ侵入を図ります。システムやWebアプリケーションの
セキュリティ上の弱点、突破口、脆弱性をうまく利用することをエクスプロイト(Exploit)と呼びます。

STEP4当社結果分析とレポート作成

ご連絡

テスト結果を分析しレポートを作成します。
レポート送付と共にご連絡を差し上げますのでご確認頂くことになります。

テスト後

STEP1当社/お客さま報告会およびQ&A

実施

レポートを元に報告会を実施します。ご質問に対してわかりやすく解説をし回答を致します。

STEP2お客さま対策の実施

実施

見つかったシステムの脆弱性などを直し対策を実施していただきます

STEP3当社再テストの実施

実施

再度同様のテストを実施し対策がされているか確認をします

STEP3当社/お客さま終了

対策の有効性が確認されればペネトレーションテストは終了となります。