案内 / 流れ
ペネトレーションテストとは?
ペネトレーションテストは、ITインフラストラクチャのセキュリティを評価するために使用されます。異なる悪意のある技術を用いてシステムやネットワークを評価することで、アプリケーション内のセキュリティ脆弱性を特定するプロセスです。システムやアプリケーションの脆弱な部分は、システムに対する許可されたシミュレーション攻撃のプロセスを通じて特定されます。この種のテストをシステムで実行する主な目的は、ハッカーのような外部の人間がシステムに不正にアクセスした場合に、そのデータを追跡することです。
システムに脆弱性が発見されると、その脆弱な部分を利用して、ハッカーはシステムにアクセスしたり、システムから機密情報を取得したりします。システムの侵入テストを行う者は、合法的な方法では倫理的ハッカーと呼ばれる。このようなタイプのハッカーは、組織に雇われてアプリケーションの脆弱な部分を見つけ出し、後にこれらの脆弱な部分が不正なハッカーによって発見されないようにして、システムに損害を与えたり破壊したりします。
ペネトレーションテストが必要なお客様とは?
メイソンは、以下の場合にペネトレーションテストを実施することを推奨しております。
- 規制当局から定期的な分析・評価を求められている。
- 新しいネットワークインフラやアプリケーションが追加された場合。
- インフラやアプリケーションの大幅なアップグレードや修正が行われた。
- オフィスを新設および移転した。
- エンドユーザのポリシーが変更された。
- お客様のシステム・ネットワーク構成が大幅に変更された。
ペネトレーションテストを実施することの効果
実際のセキュリティ脅威に関する詳細な情報を提供し、脆弱性の深刻度を分類することに役立ちます。お客様は脆弱性に対する対応優先度を決め、必要なセキュリティパッチを適用し、セキュリティリソースを割り当てることができます。これに加えて、下記のような効果があると認識しております。
- 各国のセキュリテイに関する法令遵守。
- 国際認証・基準への準拠対応(NIST、PCI DSS、GDPRなど)。
- ペネトレーションテスト後に作成される詳細なレポートは、コンプライアンス違反による罰金を回避し、必要なセキュリティ管理を維持することで監査人にデューディリジェンスを説明するのに役立ちます。
- システムやネットワークのダウンタイムにかかるコストの回避。
メイソンが提供するペネトレーションテストの種類
ペネトレーションテストの種類は以下の通りになります。サービス提供期間についてはお客様のご要望に対応します。
- 外部・内部ネットワーク・セキュリティテスト
- Webアプリケーションセキュリティテスト
- ステークホルダー向けセキュリティテスト
- リモートアクセステスト
- ソーシャルエンジニアリングテスト
- 物理的セキュリティテスト
ペネトレーションテストの3ステップ
1. 攻撃前段階/計画 |
|
---|---|
2. アタックフェーズ/テスト |
|
3. 攻撃後のフェーズ/報告 |
|
お客様への納品成果物
ペネトレーションテストの終了時には、検出された脆弱性を効果的に排除するための広範なレポートと推奨事項をお客様に提供します。
検出された脆弱性一覧と対応方針書
検出されたシステムの脆弱性のリストと、その脆弱性がどの程度悪用されやすいか、またシステムやビジネスにとってどの程度有害かに応じた分類した上で対応方針書を納品します。
テスト中に実施されたシステムの変更点のリスト
テストプロトコル(使用した機器、ツール、チェックした部分、発見した問題点を含む)。
明らかになったセキュリティ問題を解消するための実行可能な推奨事項。
当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。
- お電話によるお問い合わせ・ご相談03-6425-6735受付時間: 9:00~18:00
- メールによるお問い合わせ・ご相談・お見積り依頼はこちら