セキュリティ診断

脅威ベースペネトレーションテスト

Overview

サービス概要

『ウェブセキュリティアセスメント』サービスにペネトレーションテストをプラス
ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果をもとに、業務フローや開発プロセスに潜む弱点を洗い出し、脅威を想定したうえで攻撃シナリオを作成、実際にシナリオに沿って攻撃を行います。
これにより、サービスや開発プロセス全体においてより現実的なセキュリティ対策を検討することができます。

脅威ベースペネトレーションテスト

こんな方におすすめ

  • ico-analyze

    立上予定の新規事業への脅威がどういったものがあるのか分析したい

  • ico-threat

    既存事業に対する脅威がどういったものがあるのか分析したい

  • 早期に改善

    ウェブサービスの脆弱性だけではなく組織上の脆弱性についても改善したい

当社サービスの特徴

自社サービスの脅威について理解できる

  • サービスの脅威分析からはじめることで、どういった脅威があるのかを把握

  • 詳細かつわかりやすい報告書にて対処の優先順位付けが容易

低額、短期間でのご利用が可能

  • 評価対象のスコープを優先度の高いものに絞ることで中小規模のサービスへの提供を実現

※大規模システムや組織全体への実施ももちろん可能です。

システム以外の人や組織に対してもテスト実施

  • ソーシャルエンジニアリングなども組み合わせ、システムだけでなく組織全体の脆弱性を検証

※システムへのテストのみも承っています。

脆弱性診断との違い

EGSSの脆弱性診断(アプリ診断)では以下のレベル3までの対応を実施しております。
レベル4〜をご希望の際にはペネトレーションテスト、脅威ベースペネトレーションテストをご提案させていただきます。

           
対応内容
レベル1
ツールによるスキャン診断
レベル2
診断ツールと⼿動診断を併⽤し、ツールスキャンでは検出でいない脆弱性まで確認
レベル3
検出された脆弱性の事業への危険度と、その脆弱性が悪⽤された場合の影響まで確認
レベル4
攻撃者⽬線での⽬的を設定し、その達成の可否および達成するための障壁は何かを調査
レベル5
システムのみではなく、運⽤体制やフローに脆弱性がないかも含めた脅威ベースのペネトレーションテスト(TLPT)
国内のイメージ

脆弱性診断

ペネトレーションテスト

参考:米国基準 Scan ペネトレーションテスト(Pentest)

サービスの流れ

1:状況把握

ico-situation-1

脆弱性診断等によるシステムの現状把握の他、設計書や業務マニュアル等も精査。検査対象全体の現状を把握します。

2:ヒアリング

ヒアリング

現状把握結果を踏まえ、実担当者へのヒアリングを行います。実担当者へのヒアリングを行うことにより、より現実に即した現状を明らかにします。

3:アセスメント

ico-advance

①②をベースに、システム上の弱点だけでなく、組織上、業務上の弱点を洗い出し、弱点に対する攻撃者と脅威を洗い出します。

4:攻撃シナリオの作成

ico-scenario

③の結果から、攻撃シナリオを作成します。

5:ペネトレーションテストの実施

ico-test

④のシナリオに従い、実際に攻撃を行います。

6:評価

評価

⑤の結果を踏まえ、現実的なリスクの評価と改善策を検討します。

7:改善策の提案

改善策の提案

⑥を踏まえ、改善策をご提案します。

8:コンサルティングの実施

コンサルティングの実施

ご要望に応じて、改善策の実施におけるコンサルティングや支援も行います。