『ウェブセキュリティアセスメント』サービスに
ペネトレーションテストをプラス

ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果をもとに、
業務フローや開発プロセスに潜む弱点を洗い出し、
脅威を想定したうえで攻撃シナリオを作成、実際にシナリオに沿って攻撃を行います。
これにより、サービスや開発プロセス全体においてより現実的なセキュリティ対策を検討することができます。

背景

今、注目を集める脅威ベースペネトレーションテスト

金融庁による「 金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデート において金融機関が取り組むべき方針として、「脅威ベースのペネトレーションテスト(TLPT)」等の高度な評価手法の活用を図るように指示が出たことにより、ペネトレーションテストに対して注目が集まっています。

また、個別システムとしての評価だけでなく、Webサイトを中心としたサービスにおけるリスク評価の一環として、現状のセキュリティ対策の有効性を評価する目的として、ヒアリングやドキュメント精査という机上のアセスメントにプラスしてペネトレーションテストによる実地調査を行うことにより、コールセンタ等も含めた業務フローや開発・運用プロセスの効果的な改善の実施の相談をいただくことが増えてきました。

そこで、EGセキュアソリューションズでは、従来の『ウェブセキュリティアセスメント』サービスにペネトレーションテストをプラスした『脅威ベースペネトレーションテスト』サービスをご提供いたします。

サービスの流れ

①状況把握

脆弱性診断によるシステム的な現状把握のほか、セキュリティポリシーなどのドキュメントを精査することで組織的なセキュリティ対策状況にも把握します

②ヒアリング

現状把握結果を踏まえ、実際の担当者に対するヒアリングにより、業務全体のフローを明らかにします。

③アセスメント

①②を踏まえ、システム上の弱点や組織上、業務上の弱点を洗い出し、弱点に対する攻撃者と脅威を想定します。

④攻撃シナリオの作成

③の結果と、想定される脅威から攻撃シナリオを作成します。

⑤ペネレーションテスト実施

④のシナリオに従い、攻撃を行います。

⑥評価

ペネレーションテストの結果を踏まえ、現実的なリスクの評価および改善策を検討します。

⑦改善策の提案

⑥を踏まえ、改善策を提案します。
ご要望により、改善案実施に対するコンサルティングや対策実施支援も行います

費用イメージ

350万円~
実施範囲によって個別相談

Contact

お気軽にお問い合わせください。

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。