BEAT

– Brave and Ethical hAcker Team –

Powered by Stonebeat Security

" Information is not knowledge. The only source of knowledge is experience. "

- Albert Einstein -

提供サービス

プラットフォーム診断
- Green Stone -

サーバシステムやネットワーク機器等のOSやミドルウェアにおける脆弱性を調査します。

Webアプリケーション診断
- Blue Stone -

様々なシステム上で稼働するWebアプリケーションの脆弱性有無を調査します。

ペネトレーションテスト
- Red Stone -

攻撃シナリオに基づき、脆弱性の悪用可否や権限昇格、侵入後の影響等を調査します。

WordPress診断
- Yellow Stone -

WordPressで築されているWebサイトに特化したセキュリティ検査を実施します。

無線LAN診断
- Purple Stone -

無線LAN(アクセスポイント)における脆弱性有無や暗号方式・強度などを調査します。

スマホアプリ診断
- White Stone -

AndroidアプリやiOSアプリなど、スマートフォンアプリにおける脆弱性を調査します。

クラウドサービス診断
- Orange Stone -

AWS・GCP・Azure などクラウドサービスにおけるセキュリティ不備を調査します。

標的型メール訓練
- Pink Stone

標的型メールやフィッシングメールを模した不審メールに対する耐性力を評価します。

製品評価
- Lime Stone -

御社開発製品や販売製品等における脆弱性有無やセキュリティ機能を調査します。

" Anyone who has never made a mistake has never tried anything new. "

- Albert Einstein -

プラットフォーム診断
主な診断項目

稼働ホストの検出

調査対象ネットワークまたはホストに対してパケットを送出することにより、その応答有無などから対象ホストの稼働状況を確認します。

ポートスキャン

調査対象ホストの全てのポートに対してパケットを送出し、ポートの開閉状態・提供サービスを調査します。TCP及びUDPともにフルポートをスキャンします。

ソフトウェア調査

稼働サービスの応答(バナー情報)などからソフトウェア名・バージョン情報を調査します。また、識別されたソフトウェア情報から脆弱性の有無を調査します。

O S 識別

調査対象ホストの応答パケットやオープンポートの状態などから、OS情報を調査・識別します。OS情報は、脆弱性調査及び悪用可否調査で重要な情報となります。

脆弱性調査

検出されたオープンポート・サービスに対して、脆弱性スキャンを実施し、脆弱性の有無を調査します。脆弱性調査は、専用スキャナの他、ホワイトハッカーの手動による丁寧な検査が行われます。

各種サービスにおける脆弱性の調査

TCP/IPにおける各種サービス(DNS、SMTP、FTP、SMB、LDAP、Active Directoryなど)の脆弱性を調査します。脆弱性の調査は、ホワイトハッカーの手動による丁寧な検査が行われます。

応答メッセージ・エラー調査

調査対象ホストからの応答メッセージやレスポンス、エラーメッセージなどにおいて、個人情報や機密情報などの漏洩がないか調査します。

アクセス不備の調査

調査対象ホストにおけるアクセス不備(閲覧権限や書込み権限など)や意図しない情報公開がされていないか調査します。

暗号化プロトコルの調査

SSHやSSLなどの暗号化プロトコル(サービス)が稼働している場合、利用されている暗号化の強度やバージョン、脆弱性有無を調査します。

悪意のあるソフトウェアの調査

バックドアやトロイの木馬などの悪意あるマルウェアが調査対象ホストに仕込まれていないか、またその疑いや懸念がないか調査します。

Webアプリケーション診断
主な診断項目

クロスサイトスクリプティング
(XSS)

不正なスクリプト文字列などを送信した際、出力処理の問題によりスクリプトを埋め込まれるなどの脆弱性がないか診断します。

クロスサイトリクエストフォージェリ
(CSRF)

情報の登録・更新・削除など、データの操作を伴う機能において、利用者が意図しない処理を強制されてしまう脆弱性がないか診断します。

SQLインジェクション

データベースを利用する機能において、データベースに対する不正な操作が行えるような脆弱性がないか診断します。

コマンドインジェクション

OSコマンドを利用する機能において、Webアプリケーションを超えて、OSのコマンドが不正に実行される脆弱性がないか調査します。

認証・認可の欠陥

アカウント権限により提供機能が分かれるシステムにおいて、一般アカウントで管理者アカウントの機能が利用できないか調査します。

不必要な情報の露見

本来、Webサーバが公開すべきでない、または公開を意図していない不要なファイルやデータが公開されていないか調査します。

ディレクトリリスティング

ファイル名やディレクトリ名を操作することで、本来閲覧不可能なデータにアクセスできる脆弱性がないか調査します。

管理画面の露見

ソフトウェアやパッケージなどのデフォルトの管理者ページが、不特定多数からアクセス可能な状態になっていないか調査します。

強制リダイレクト

受け取った入力値をリダイレクト先として反映する機能において、任意のリダイレクト先を指定できてしまう脆弱性がないか調査します。

強制ブラウジング

認証が必要なページに認証なしでアクセスできたり、公開を意図していないページにアクセスできてしまう脆弱性がないかを診断します。

推奨ヘッダの有無

Webアプリケーションにおける脆弱性の影響を軽減するための推奨ヘッダが、HTTPレスポンスヘッダに含まれているか調査します。

脆弱性の残存するソフトウェアの利用

ヘッダ情報、エラーメッセージ、コンテンツなどから利用しているソフトウェアバージョンを調査し、既知の脆弱性が存在しないか確認します。

ペネトレーションテスト
診断項目

攻撃モデルの検討 - Threat Modeling -

ペネトレーションテストにより評価したい事項について、お客様の環境や構成情報をもとに、攻撃シナリオを立案し、シナリオ設定します。

情報収集
- Information Gathering -

調査対象システム及び周辺情報に関する公開情報の有無を確認し、悪用可能な有用情報の有無などを調査します。

標的型メール
- Targeted Attack Mail -

不正プログラムを模した疑似マルウェアを添付した標的型メールの利用による組織内への侵入可否・耐性を評価します。

スキャニング
- Scanning -

調査対象システムのネットワーク及びシステムなどに対して、プラットフォーム診断を行い対象システムに内在する脆弱性を調査します。

情報列挙
- Enumeration -

調査対象システムへ接続を確立し、脆弱性の悪用に活用できる各種情報(ユーザ名やバナー情報、SMB共有など)の列挙を行います。

Webアプリケーション検査
- Web Application Survey -

調査対象システムのWebシステムに対して、Webアプリケーション診断を行い対象システムに内在する脆弱性を調査します。

脆弱性の調査・悪用可否
- Exploit -

検出された脆弱性の悪用可否及び脆弱性の悪用プログラム(Exploitコード)の有無、Exploitコードの悪用によるシステム侵入の可否を調査します。

認証試行
- Brute Force Attack -

認証サービスに対して認証試行を実施し、脆弱な認証情報の有無を調査します。

権限昇格
- Privilege Escalation -

調査対象システムのユーザ権限が取得できた場合、システム上の脆弱性を調査し、管理者権限の取得、特権昇格の可否を調査します。

影響調査
-Expand -

システム侵入ができた場合、また侵入されたことを前提とし、侵入後の侵害拡大や影響範囲を調査します。

Why BEAT?

● BEAT = Brave and Ethical hAcker Team

BEATは、ストーンビートセキュリティ株式会社でペネトレーションテスト等のセキュリティ検査を担当するホワイトハッカーチームです。勇敢かつ高い倫理観とスキル・経験を持ったホワイトハッカーが所属します。

● 情報セキュリティのプロフェッショナル集団

BEATは、情報セキュリティの専業のストーンビートセキュリティに所属するプロフェッショナルとして、高い倫理観と専門性(知識・スキル・経験)を持ち、真摯に・公正に・強い信念を持って、デジタル社会の安心・安全に貢献します。

● 情報セキュリティに関する高度なスキル

BEATに所属するホワイトハッカーは、ペネトレーションテスト等のセキュリティ検査はもちろん、情報セキュリティに関する高度知識とスキルを保有します。
>>> ホワイトハッカー保有資格 <<<

● 情報セキュリティに関する豊富な実績

業種を問わず多数の企業から中央省庁や独立行政法人などの官公庁まで、数多くのお客様からのご依頼に着実に応えしてきた確かな実績があります。これら実績を裏付けるように経済産業省による情報セキュリティサービス基準にも認定されています。

情報セキュリティサービス基準適合サービス

弊社サービスは、経済産業省による「情報セキュリティサービス基準」に準拠し、同基準に適合していることを認められ、認定登録されています。

 ・脆弱性診断サービス(登録番号:020-0001-20)
 ・情報セキュリティ監査サービス(登録番号:020-0001-10)
 ・デジタルフォレンジックサービス(登録番号:020-0001-30)

「情報セキュリティサービス基準」は、情報セキュリティサービスの提供を、経済産業省が定める基準を満たし、その品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準です。

> サービス登録台帳(JASA)
> サービス登録台帳(IPA)

ホワイトハッカー保有資格

CISSP

情報セキュリティの専門家

CISSPは、(ISC)² が認定を行っている国際的な情報セキュリティ・プロフェッショナル認定資格です。情報セキュリティの各分野を網羅的に理解している情報セキュリティのプロフェッショナルのみに与えられる資格です。

OSCP

ペネトレーションテストの専門家

OSCPは、OffensiveSecurity が提供する倫理的なペネトレーションテストの認定です。実践的な侵入テスト認定であり、実用的かつ技術的な侵入テストのスキルを証明する認定です。

Hack The Box
Pro Hacker+

HTBにおけるハッカーランク

世界最高のペネトレーションテスト学習プラットフォーム Hack The Box における称号です。BEATメンバーは、全員が Hacker以上を保有しています。

GIAC GPEN

ペネトレーションテストの専門家

GIAC GPENは、ペネトレーションテストを適切に実施するスキルを証明する認定です。GPEN保有者は、偵察だけでなく脆弱性の調査・悪用の実施など侵入テストのアプローチに関する知識とスキルを持っています。

GIAC GWAPT

Webaアプリ検査の専門家

GIAC GWAPT認定は、ペネトレーションテストとWebアプリケーションのセキュリティ検査のスキルを証明する認定です。Webアプリケーションのエクスプロイトと侵入テストの方法論に関する知識とスキルを保有します。

GIAC GCFA/GREM

フォレンジック/マルウェア解析の専門家

GCFAは、インシデント対応やデジタルフォレンジックに関する高度な対処スキルと知識を証明する認定です。またGREMはマルウェア解析の専門家であり、リバースエンジニアリングの知識とスキルを証明する認定です。

CompTIA
PenTest+/CySA+

ペネトレーションテストの専門家

CompTIA PenTest+は、脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナルのための認定資格です。

SSCP

情報セキュリティ専門家

SSCPは、(ISC)² が認定を行っている国際的な情報セキュリティ・プロフェッショナル認定資格です。ITインフラの実装、監視、管理に関する情報セキュリティのの高度な技術スキルと知識を持っていることを証明します。

RISS

情報処理安全確保支援士

情報処理安全確保支援士(RISS)は、日本の情報セキュリティ分野の国家資格です。情報セキュリティに関する専門的な知識とスキルを有することを証明する資格です。

CISA

公認情報システム監査人

CISAはISACAが認定する情報セキュリティの国際資格です。情報システムの監査およびセキュリティ管理に関する高度な知識とスキル・経験を有するプロフェッショナルであることを証明する資格です。

CISM

公認情報セキュリティマネージャ

CISMはISACAが認定する情報セキュリティの国際的資格です。情報セキュリティのマネージメント、設計、監督に関する知識・スキル・経験を有するプロフェッショナルであることを証明する資格です。

LPIC-303
Security

Linuxプロフェッショナル認定

LPIC-303(エンタープライズセキュリティ)認定は、LinuxシステムとLinuxのセキュリティに管理に関する高度な知識とスキルを保有していることを証明します。

ご提供価格

プラットフォーム診断


Green Stone
万円 / 1IPアドレス
  • 即日~2週間(10IP)
  • 10IPアドレスから
  • NIST SP800-115参照
Green

Webアプリケーション診断


Blue Stone
万円 / 1リクエスト
  • 即日~2週間
    (10リクエスト)
  • 10リクエストから
  • OWASP Top10 & IPAガイド準拠
Blue

ペネトレーションテスト


Red Stone
個別見積もり
お問い合わせください
  • 1ヵ月程度~(10IP~)
  • 10IPアドレスから
  • ATT&CK、NIST 800-115参照
Red

スマホアプリ診断


White Stone
  個別見積もり
お問い合わせください
  • 2~4週間
    (1アプリ)
  • 1アプリから~
  • OWASP Mobile Top10 準拠
White

標的型メール訓練


Pink Stone
500
円 ~ / 1通
  • 2~4週間
    (500通)
  • 500通から~
  • 添付ファイル型、URLリンク型、SMS型
Pink

クラウドサービス診断


Orange Stone
個別見積もり
お問い合わせください
  • 1ヵ月程度~
    (10インスタンス~)
  • 10インスタンス~
  • AWS・GCP・Azureに対応
Orange

※各サービスは、別途基本料金がかかります。
オンサイト診断、再診断、ご報告会、独自ご要件など、ご要望に応じて柔軟に対応します。気軽にお問い合わせください。

お問い合わせ

050-6877-5988

受付時間:9:00 – 18:00

Email pentest@stonebeat.co.jp

Stonebeat Security

Stonebeat Securityは、ペネトレーションテスト・脆弱性診断をはじめ、人材育成や対策支援サービスなど、人や組織に根ざした幅広いセキュリティ対策を提供する「情報セキュリティのプロフェッショナル集団」です。

< Stonebeat Securitry >

Powered by Stonebeat Security, Inc.