• お問い合わせ
  • 050-3697-6735
    (直通番号 / 受付時間9:00~18:00)

PENETRATION TESTペネトレーションテスト

案内 / 流れ

ペネトレーションテストとは?

ペネトレーションテストは、ITインフラストラクチャのセキュリティを評価するために使用されます。異なる悪意のある技術を用いてシステムやネットワークを評価することで、アプリケーション内のセキュリティ脆弱性を特定するプロセスです。システムやアプリケーションの脆弱な部分は、システムに対する許可されたシミュレーション攻撃のプロセスを通じて特定されます。この種のテストをシステムで実行する主な目的は、ハッカーのような外部の人間がシステムに不正にアクセスした場合に、そのデータを追跡することです。

システムに脆弱性が発見されると、その脆弱な部分を利用して、ハッカーはシステムにアクセスしたり、システムから機密情報を取得したりします。システムの侵入テストを行う者は、合法的な方法では倫理的ハッカーと呼ばれる。このようなタイプのハッカーは、組織に雇われてアプリケーションの脆弱な部分を見つけ出し、後にこれらの脆弱な部分が不正なハッカーによって発見されないようにして、システムに損害を与えたり破壊したりします。

ペネトレーションテストが必要なお客様とは?

メイソンは、以下の場合にペネトレーションテストを実施することを推奨しております。

  • 規制当局から定期的な分析・評価を求められている。
  • 新しいネットワークインフラやアプリケーションが追加された場合。
  • インフラやアプリケーションの大幅なアップグレードや修正が行われた。
  • オフィスを新設および移転した。
  • エンドユーザのポリシーが変更された。
  • お客様のシステム・ネットワーク構成が大幅に変更された。

ペネトレーションテストを実施することの効果

実際のセキュリティ脅威に関する詳細な情報を提供し、脆弱性の深刻度を分類することに役立ちます。お客様は脆弱性に対する対応優先度を決め、必要なセキュリティパッチを適用し、セキュリティリソースを割り当てることができます。これに加えて、下記のような効果があると認識しております。

  • 各国のセキュリテイに関する法令遵守。
  • 国際認証・基準への準拠対応(NIST、PCI DSS、GDPRなど)。
  • ペネトレーションテスト後に作成される詳細なレポートは、コンプライアンス違反による罰金を回避し、必要なセキュリティ管理を維持することで監査人にデューディリジェンスを説明するのに役立ちます。
  • システムやネットワークのダウンタイムにかかるコストの回避。

メイソンが提供するペネトレーションテストの種類

ペネトレーションテストの種類は以下の通りになります。サービス提供期間についてはお客様のご要望に対応します。

  • 外部・内部ネットワーク・セキュリティテスト
  • Webアプリケーションセキュリティテスト
  • ステークホルダー向けセキュリティテスト
  • リモートアクセステスト
  • ソーシャルエンジニアリングテスト
  • 物理的セキュリティテスト

ペネトレーションテストの3ステップ

1. 攻撃前段階/計画
  • 侵入者モデルの定義(内部または外部、有効な権限と特権)。
  • 目標、ソースデータ、作業範囲、テスト対象の定義。
  • ターゲット環境の範囲を決定する。
  • テスト手法の開発。
  • 相互作用及び通信手順の定義。
2. アタックフェーズ/テスト
  • フィールドワーク、サービスの特定。
  • 必要に応じてカスタムのスキャンツールや侵入ツールを開発する。
  • 脆弱性の検知とスキャン、誤検知の排除。
  • 脆弱性を悪用し、不正アクセスを行う。
  • 侵害されたシステムを踏み台にして、さらなる侵入を試みる。
3. 攻撃後のフェーズ/報告
  • 結果の分析と報告、リスク低減のための提言。
  • 侵入者によってシステムに与えられるダメージを視覚的に示す。
  • さらに、検出された脆弱性を排除することも可能です。

お客様への納品成果物

ペネトレーションテストの終了時には、検出された脆弱性を効果的に排除するための広範なレポートと推奨事項をお客様に提供します。

検出された脆弱性一覧と対応方針書

検出されたシステムの脆弱性のリストと、その脆弱性がどの程度悪用されやすいか、またシステムやビジネスにとってどの程度有害かに応じた分類した上で対応方針書を納品します。

テスト中に実施されたシステムの変更点のリスト

テストプロトコル(使用した機器、ツール、チェックした部分、発見した問題点を含む)。
明らかになったセキュリティ問題を解消するための実行可能な推奨事項。

当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。

メイソンコンサルティング株式会社
メイソンコンサルタントグループ株式会社

〒105-0012
東京都港区芝大門1-12-16
住友芝大門ビル2号館8階

Access Map

当社はISO9001,ISO27001を取得しております。

メイソンは、中小企業の情報セキュリティ対策ガイドラインに基づき、セキュリティ対策に取り組んでいます。