セキュリティ診断

脅威ベースペネトレーションテスト

Overview

脅威ベースペネトレーションテストのサービス概要

『ウェブセキュリティアセスメント』サービスにペネトレーションテストをプラス

脅威ベースペネトレーションテストは、実際の攻撃者の視点からシステムの脆弱性を検出し、評価するための高度なセキュリティ診断手法です。

ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果をもとに、業務フローや開発プロセスに潜む弱点を洗い出し、脅威を想定したうえで攻撃シナリオを作成、実際にシナリオに沿って攻撃を行います。これにより、サービスや開発プロセス全体においてより現実的なセキュリティ対策を検討することができます。

脅威ベースペネトレーションテスト

こんな方におすすめ

  • ico-analyze

    立上予定の新規事業への脅威がどういったものがあるのか分析したい

  • ico-threat

    既存事業に対する脅威がどういったものがあるのか分析したい

  • 早期に改善

    ウェブサービスの脆弱性だけではなく組織上の脆弱性についても改善したい

脅威ベースペネトレーションテストサービスの特徴

自社サービスの脅威について理解できる

  • サービスの脅威分析からはじめることで、どういった脅威があるのかを把握

  • 詳細かつわかりやすい報告書にて対処の優先順位付けが容易

低額、短期間でのご利用が可能

  • 評価対象のスコープを優先度の高いものに絞ることで中小規模のサービスへの提供を実現

※大規模システムや組織全体への実施ももちろん可能です。

システム以外の人や組織に対してもテスト実施

  • ソーシャルエンジニアリングなども組み合わせ、システムだけでなく組織全体の脆弱性を検証

※システムへのテストのみも承っています。

脆弱性診断との違い

EGSSの脆弱性診断(アプリ診断)では以下のレベル3までの対応を実施しております。
レベル4〜をご希望の際にはペネトレーションテスト、脅威ベースペネトレーションテストをご提案させていただきます。

           
対応内容
レベル1
ツールによるスキャン診断
レベル2
診断ツールと⼿動診断を併⽤し、ツールスキャンでは検出でいない脆弱性まで確認
レベル3
検出された脆弱性の事業への危険度と、その脆弱性が悪⽤された場合の影響まで確認
レベル4
攻撃者⽬線での⽬的を設定し、その達成の可否および達成するための障壁は何かを調査
レベル5
システムのみではなく、運⽤体制やフローに脆弱性がないかも含めた脅威ベースのペネトレーションテスト(TLPT)
国内のイメージ

脆弱性診断

ペネトレーションテスト
参考:米国基準 Scan ペネトレーションテスト(Pentest)

TLPTと一般的なペネトレーションテストとの違い

TLPT(脅威ベースペネトレーションテスト)と一般的なペネトレーションテストは、そのアプローチや目的にはいくつかの重要な違いがあります。

まず、TLPTは実際の攻撃者の視点からシステムを評価することに重点を置いています。攻撃者が利用する可能性のある手法やツールを用いて、現実的な攻撃シナリオをシミュレートすることで、システムのセキュリティ強度を評価します。

一方、一般的なペネトレーションテストは、既知の脆弱性や一般的な攻撃手法に基づいてシステムを検査することが多いです。

次に、TLPTは特定の脅威モデルに基づいてテストを実施します。これにより、企業が直面する可能性のある具体的な脅威に対する防御力を評価することができます。

一般的なペネトレーションテストは、より広範な脆弱性を検出することを目的としており、特定の脅威に焦点を当てることは少ないです。

脅威ベースペネトレーションテストサービスの流れ

1:状況把握

ico-situation-1

脆弱性診断等によるシステムの現状把握の他、設計書や業務マニュアル等も精査。検査対象全体の現状を把握します。

2:ヒアリング

ヒアリング

現状把握結果を踏まえ、実担当者へのヒアリングを行います。実担当者へのヒアリングを行うことにより、より現実に即した現状を明らかにします。

3:アセスメント

ico-advance

①②をベースに、システム上の弱点だけでなく、組織上、業務上の弱点を洗い出し、弱点に対する攻撃者と脅威を洗い出します。

4:攻撃シナリオの作成

ico-scenario

③の結果から、攻撃シナリオを作成します。

5:ペネトレーションテストの実施

ico-test

④のシナリオに従い、実際に攻撃を行います。

6:評価

評価

⑤の結果を踏まえ、現実的なリスクの評価と改善策を検討します。

7:改善策の提案

改善策の提案

⑥を踏まえ、改善策をご提案します。

8:コンサルティングの実施

コンサルティングの実施

ご要望に応じて、改善策の実施におけるコンサルティングや支援も行います。

お問い合わせはこちら

お問い合わせ メールマガジンのご登録