ペネトレーションテスト
ペネトレーションテストとは、明確な意図を持った攻撃者が目的を達成できるかどうかを検証するセキュリティテストの一種です。
脆弱性診断では見つけられない脅威シナリオに基づいたセキュリティリスクを洗い出します。
サイバー攻撃を疑似的に行うことで、組織や対象システムにおける具体的な問題点(脆弱性、運用課題、設定の問題)や想定される被害を可視化します。
実際の攻撃者が使用しているツールや脆弱性を利用して、疑似的にサイバー攻撃を行います。一定期間内に目的を達成できるかどうかを調査します。
攻撃者の視点から攻略しやすい脆弱性を把握し、効率よく対策を推進することができます。
※ただし、脆弱性診断のような網羅性はありません。実際に「脆弱性を悪用する」ことで、明確な意図を持った攻撃者が目的を達成できるか検証します。
実際の攻撃者が使用するツールや技術を用い、一定期間内に目的を達成できるか調査します。攻撃シナリオを再現するため、すべての脆弱性を網羅するわけではありません。
調査対象は、システム、人、組織、ルールを含めた全体的な視点で設定されます。組織全体または指定されたシステム全体に対して作業をします。新規に構築したシステムより、運用が開始されて時間が経過したシステムでの実施が効果的です。
報告書には「目的達成に至る侵入経路」や「実行した攻撃シナリオ」、「使用した脆弱性や攻撃手法」、「発見されたセキュリティ上の問題点」について記載します。
脆弱性やセキュリティ機能の不足を「網羅的に洗い出す」ことを目的とし、システムに内在するすべてのリスクを明確化します。
ガイドラインに基づき、定型的なテストケースを用いて網羅的に脆弱性を調査します。調査は、脆弱性の有無を確認するための最低限の通信に限定し、被害を伴う可能性のある調査は意図的に実施しません。
調査対象は、指定されたWebアプリケーションやIPアドレスに限定されます。関連するシステムであっても、指定外のWebアプリケーションやIPアドレスについては診断を行いません。
調査結果として、発見された脆弱性やセキュリティ機能の不足をリスクの高い順に一覧化し、すべて報告書に記載します。
ペネトレーションテストは、「攻撃者が目的を達成出来るか」を検証するためのテストです。組織・対象のシステムにおける「具体的な問題(脆弱性、運用課題、設定上の問題等)」や「想定される被害」を明らかにすることができます。
一般ユーザのPCがマルウェアに感染した際に、対象システムにおける重要な資産やドメイン管理者権限の奪取が可能かテストする。
インターネット経由で対象システムにアクセスし、不正な権限昇格や重要情報の窃取が可能かテストする。
ゴール(目標)、スコープ(範囲)、攻撃手法/手順を適切に設定するために、ヒアリングを実施します。
依頼事項 テスト対象に関する情報提示
頂いた情報をもとに、ゴール、スコープ、攻撃手法/手順を確定します。
また、テストスケジュールについても調整・確定します。
依頼事項 スケジュール調整/ペネトレーションテスト計画書の確認
成果物 ペネトレーションテスト計画書
ペネトレーションテスト計画書に従い、テストを実施します。
依頼事項 システム監視部門との調整
ペネトレーションテストの結果について報告します。
また、対策案についても提示します。
成果物 ペネトレーションテスト結果報告書
お問い合わせ
サービスについてのご相談・ご質問、お見積り依頼など、
お気軽にお問い合わせください。