PENETRATION TESTペネトレーションテスト

ペネトレーションテストとは？

ペネトレーションテストは、ITインフラストラクチャのセキュリティを評価するために使用されます。異なる悪意のある技術を用いてシステムやネットワークを評価することで、アプリケーション内のセキュリティ脆弱性を特定するプロセスです。システムやアプリケーションの脆弱な部分は、システムに対する許可されたシミュレーション攻撃のプロセスを通じて特定されます。この種のテストをシステムで実行する主な目的は、ハッカーのような外部の人間がシステムに不正にアクセスした場合に、そのデータを追跡することです。

システムに脆弱性が発見されると、その脆弱な部分を利用して、ハッカーはシステムにアクセスしたり、システムから機密情報を取得したりします。システムの侵入テストを行う者は、合法的な方法では倫理的ハッカーと呼ばれる。このようなタイプのハッカーは、組織に雇われてアプリケーションの脆弱な部分を見つけ出し、後にこれらの脆弱な部分が不正なハッカーによって発見されないようにして、システムに損害を与えたり破壊したりします。

ペネトレーションテストが必要なお客様とは？

メイソンは、以下の場合にペネトレーションテストを実施することを推奨しております。

ペネトレーションテストを実施することの効果

実際のセキュリティ脅威に関する詳細な情報を提供し、脆弱性の深刻度を分類することに役立ちます。お客様は脆弱性に対する対応優先度を決め、必要なセキュリティパッチを適用し、セキュリティリソースを割り当てることができます。これに加えて、下記のような効果があると認識しております。

メイソンが提供するペネトレーションテストの種類

ペネトレーションテストの種類は以下の通りになります。サービス提供期間についてはお客様のご要望に対応します。

• 外部・内部ネットワーク・セキュリティテスト
• Webアプリケーションセキュリティテスト
• ステークホルダー向けセキュリティテスト
• リモートアクセステスト
• ソーシャルエンジニアリングテスト
• 物理的セキュリティテスト

ペネトレーションテストの3ステップ

1. 攻撃前段階／計画	侵入者モデルの定義（内部または外部、有効な権限と特権)。 目標、ソースデータ、作業範囲、テスト対象の定義。 ターゲット環境の範囲を決定する。 テスト手法の開発。 相互作用及び通信手順の定義。
2. アタックフェーズ／テスト	フィールドワーク、サービスの特定。 必要に応じてカスタムのスキャンツールや侵入ツールを開発する。 脆弱性の検知とスキャン、誤検知の排除。 脆弱性を悪用し、不正アクセスを行う。 侵害されたシステムを踏み台にして、さらなる侵入を試みる。
3. 攻撃後のフェーズ／報告	結果の分析と報告、リスク低減のための提言。 侵入者によってシステムに与えられるダメージを視覚的に示す。 さらに、検出された脆弱性を排除することも可能です。

お客様への納品成果物

ペネトレーションテストの終了時には、検出された脆弱性を効果的に排除するための広範なレポートと推奨事項をお客様に提供します。

検出された脆弱性一覧と対応方針書

検出されたシステムの脆弱性のリストと、その脆弱性がどの程度悪用されやすいか、またシステムやビジネスにとってどの程度有害かに応じた分類した上で対応方針書を納品します。

テスト中に実施されたシステムの変更点のリスト

テストプロトコル（使用した機器、ツール、チェックした部分、発見した問題点を含む)。
明らかになったセキュリティ問題を解消するための実行可能な推奨事項。