サーバシステムやネットワーク機器等のOSやミドルウェアにおける脆弱性を調査します。
様々なシステム上で稼働するWebアプリケーションの脆弱性有無を調査します。
攻撃シナリオに基づき、脆弱性の悪用可否や権限昇格、侵入後の影響等を調査します。
WordPressで築されているWebサイトに特化したセキュリティ検査を実施します。
無線LAN(アクセスポイント)における脆弱性有無や暗号方式・強度などを調査します。
AndroidアプリやiOSアプリなど、スマートフォンアプリにおける脆弱性を調査します。
AWS・GCP・Azure などクラウドサービスにおけるセキュリティ不備を調査します。
標的型メールやフィッシングメールを模した不審メールに対する耐性力を評価します。
御社開発製品や販売製品等における脆弱性有無やセキュリティ機能を調査します。
調査対象ネットワークまたはホストに対してパケットを送出することにより、その応答有無などから対象ホストの稼働状況を確認します。
調査対象ホストの全てのポートに対してパケットを送出し、ポートの開閉状態・提供サービスを調査します。TCP及びUDPともにフルポートをスキャンします。
稼働サービスの応答(バナー情報)などからソフトウェア名・バージョン情報を調査します。また、識別されたソフトウェア情報から脆弱性の有無を調査します。
調査対象ホストの応答パケットやオープンポートの状態などから、OS情報を調査・識別します。OS情報は、脆弱性調査及び悪用可否調査で重要な情報となります。
検出されたオープンポート・サービスに対して、脆弱性スキャンを実施し、脆弱性の有無を調査します。脆弱性調査は、専用スキャナの他、ホワイトハッカーの手動による丁寧な検査が行われます。
TCP/IPにおける各種サービス(DNS、SMTP、FTP、SMB、LDAP、Active Directoryなど)の脆弱性を調査します。脆弱性の調査は、ホワイトハッカーの手動による丁寧な検査が行われます。
調査対象ホストからの応答メッセージやレスポンス、エラーメッセージなどにおいて、個人情報や機密情報などの漏洩がないか調査します。
調査対象ホストにおけるアクセス不備(閲覧権限や書込み権限など)や意図しない情報公開がされていないか調査します。
SSHやSSLなどの暗号化プロトコル(サービス)が稼働している場合、利用されている暗号化の強度やバージョン、脆弱性有無を調査します。
バックドアやトロイの木馬などの悪意あるマルウェアが調査対象ホストに仕込まれていないか、またその疑いや懸念がないか調査します。
不正なスクリプト文字列などを送信した際、出力処理の問題によりスクリプトを埋め込まれるなどの脆弱性がないか診断します。
情報の登録・更新・削除など、データの操作を伴う機能において、利用者が意図しない処理を強制されてしまう脆弱性がないか診断します。
データベースを利用する機能において、データベースに対する不正な操作が行えるような脆弱性がないか診断します。
OSコマンドを利用する機能において、Webアプリケーションを超えて、OSのコマンドが不正に実行される脆弱性がないか調査します。
アカウント権限により提供機能が分かれるシステムにおいて、一般アカウントで管理者アカウントの機能が利用できないか調査します。
本来、Webサーバが公開すべきでない、または公開を意図していない不要なファイルやデータが公開されていないか調査します。
ファイル名やディレクトリ名を操作することで、本来閲覧不可能なデータにアクセスできる脆弱性がないか調査します。
ソフトウェアやパッケージなどのデフォルトの管理者ページが、不特定多数からアクセス可能な状態になっていないか調査します。
受け取った入力値をリダイレクト先として反映する機能において、任意のリダイレクト先を指定できてしまう脆弱性がないか調査します。
認証が必要なページに認証なしでアクセスできたり、公開を意図していないページにアクセスできてしまう脆弱性がないかを診断します。
Webアプリケーションにおける脆弱性の影響を軽減するための推奨ヘッダが、HTTPレスポンスヘッダに含まれているか調査します。
ヘッダ情報、エラーメッセージ、コンテンツなどから利用しているソフトウェアバージョンを調査し、既知の脆弱性が存在しないか確認します。
ペネトレーションテストにより評価したい事項について、お客様の環境や構成情報をもとに、攻撃シナリオを立案し、シナリオ設定します。
調査対象システム及び周辺情報に関する公開情報の有無を確認し、悪用可能な有用情報の有無などを調査します。
不正プログラムを模した疑似マルウェアを添付した標的型メールの利用による組織内への侵入可否・耐性を評価します。
調査対象システムのネットワーク及びシステムなどに対して、プラットフォーム診断を行い対象システムに内在する脆弱性を調査します。
調査対象システムへ接続を確立し、脆弱性の悪用に活用できる各種情報(ユーザ名やバナー情報、SMB共有など)の列挙を行います。
調査対象システムのWebシステムに対して、Webアプリケーション診断を行い対象システムに内在する脆弱性を調査します。
検出された脆弱性の悪用可否及び脆弱性の悪用プログラム(Exploitコード)の有無、Exploitコードの悪用によるシステム侵入の可否を調査します。
認証サービスに対して認証試行を実施し、脆弱な認証情報の有無を調査します。
調査対象システムのユーザ権限が取得できた場合、システム上の脆弱性を調査し、管理者権限の取得、特権昇格の可否を調査します。
システム侵入ができた場合、また侵入されたことを前提とし、侵入後の侵害拡大や影響範囲を調査します。
BEATは、ストーンビートセキュリティ株式会社でペネトレーションテスト等のセキュリティ検査を担当するホワイトハッカーチームです。勇敢かつ高い倫理観とスキル・経験を持ったホワイトハッカーが所属します。
BEATは、情報セキュリティの専業のストーンビートセキュリティに所属するプロフェッショナルとして、高い倫理観と専門性(知識・スキル・経験)を持ち、真摯に・公正に・強い信念を持って、デジタル社会の安心・安全に貢献します。
BEATに所属するホワイトハッカーは、ペネトレーションテスト等のセキュリティ検査はもちろん、情報セキュリティに関する高度知識とスキルを保有します。
>>> ホワイトハッカー保有資格 <<<
業種を問わず多数の企業から中央省庁や独立行政法人などの官公庁まで、数多くのお客様からのご依頼に着実に応えしてきた確かな実績があります。これら実績を裏付けるように経済産業省による情報セキュリティサービス基準にも認定されています。
弊社サービスは、経済産業省による「情報セキュリティサービス基準」に準拠し、同基準に適合していることを認められ、認定登録されています。
・脆弱性診断サービス(登録番号:020-0001-20)
・情報セキュリティ監査サービス(登録番号:020-0001-10)
・デジタルフォレンジックサービス(登録番号:020-0001-30)
「情報セキュリティサービス基準」は、情報セキュリティサービスの提供を、経済産業省が定める基準を満たし、その品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準です。
情報セキュリティの専門家
CISSPは、(ISC)² が認定を行っている国際的な情報セキュリティ・プロフェッショナル認定資格です。情報セキュリティの各分野を網羅的に理解している情報セキュリティのプロフェッショナルのみに与えられる資格です。
ペネトレーションテストの専門家
OSCPは、OffensiveSecurity が提供する倫理的なペネトレーションテストの認定です。実践的な侵入テスト認定であり、実用的かつ技術的な侵入テストのスキルを証明する認定です。
HTBにおけるハッカーランク
世界最高のペネトレーションテスト学習プラットフォーム Hack The Box における称号です。BEATメンバーは、全員が Hacker以上を保有しています。
ペネトレーションテストの専門家
GIAC GPENは、ペネトレーションテストを適切に実施するスキルを証明する認定です。GPEN保有者は、偵察だけでなく脆弱性の調査・悪用の実施など侵入テストのアプローチに関する知識とスキルを持っています。
Webaアプリ検査の専門家
GIAC GWAPT認定は、ペネトレーションテストとWebアプリケーションのセキュリティ検査のスキルを証明する認定です。Webアプリケーションのエクスプロイトと侵入テストの方法論に関する知識とスキルを保有します。
フォレンジック/マルウェア解析の専門家
GCFAは、インシデント対応やデジタルフォレンジックに関する高度な対処スキルと知識を証明する認定です。またGREMはマルウェア解析の専門家であり、リバースエンジニアリングの知識とスキルを証明する認定です。
ペネトレーションテストの専門家
CompTIA PenTest+は、脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナルのための認定資格です。
情報セキュリティ専門家
SSCPは、(ISC)² が認定を行っている国際的な情報セキュリティ・プロフェッショナル認定資格です。ITインフラの実装、監視、管理に関する情報セキュリティのの高度な技術スキルと知識を持っていることを証明します。
情報処理安全確保支援士
情報処理安全確保支援士(RISS)は、日本の情報セキュリティ分野の国家資格です。情報セキュリティに関する専門的な知識とスキルを有することを証明する資格です。
公認情報システム監査人
CISAはISACAが認定する情報セキュリティの国際資格です。情報システムの監査およびセキュリティ管理に関する高度な知識とスキル・経験を有するプロフェッショナルであることを証明する資格です。
公認情報セキュリティマネージャ
CISMはISACAが認定する情報セキュリティの国際的資格です。情報セキュリティのマネージメント、設計、監督に関する知識・スキル・経験を有するプロフェッショナルであることを証明する資格です。
Linuxプロフェッショナル認定
LPIC-303(エンタープライズセキュリティ)認定は、LinuxシステムとLinuxのセキュリティに管理に関する高度な知識とスキルを保有していることを証明します。
※各サービスは、別途基本料金がかかります。
オンサイト診断、再診断、ご報告会、独自ご要件など、ご要望に応じて柔軟に対応します。気軽にお問い合わせください。
受付時間:9:00 – 18:00
Email pentest@stonebeat.co.jp
Stonebeat Securityは、ペネトレーションテスト・脆弱性診断をはじめ、人材育成や対策支援サービスなど、人や組織に根ざした幅広いセキュリティ対策を提供する「情報セキュリティのプロフェッショナル集団」です。
Powered by Stonebeat Security, Inc.
■デジタルフォレンジック
・メール利用状況
・Web利用状況
・ファイル実行履歴
・イベントログ調査
・外部デバイス接続履歴
・削除ファイル復元
・特定ファイル調査
■侵害調査/全台調査
■マルウェア解析
■緊急対応支援サービス
・状況把握・初動対応
・原因調査支援、再発防止策の策定
・対策強化の支援、対外対応の支援
・不正アクセス調査、侵害調査
・情報漏えい調査 など
■リスクアセスメント / 監査
・リスクアセスメント
・セキュリティ健康診断
・情報資産洗い出し、資産棚卸支援
・システム監査・セキュリティ監査
・マネジメント監査
■構築支援 / 運用支援
・CSIRT構築支援・運用支援
・ファイアウォールポリシー精査
・CASB導入支援・運用支援
・システムの構築支援・運用支援
・製品の評価・検証支援 など
■コンサルティング
・ポリシー策定支援
・ISMS取得支援
・各種ガイドライン策定支援
・情報セキュリティアドバイザリー
・CISO支援 など
〒100-0011
東京都千代田区内幸町2丁目1-6
日比谷パークフロント19F
TEL: 050-6877-5988
Email: sales@stonebeat.co.jp
© 2015-2024 All rights Reserved. Design by Stonebeat Security, Inc.