Service

ペネトレーションテスト

Overview

実践的な攻撃シミュレーションで
セキュリティ強化

近年、サイバー攻撃の手法は高度化し、企業のセキュリティ対策も進化が求められています。
ストーンビートセキュリティの「ペネトレーションテストサービス」は、攻撃者が実際に行う攻撃手法を用いてお客様のシステム内部への侵入可否及び侵入後の被害想定を把握するテストを実施することで、お客様のセキュリティ対策上の問題点を明らかにし、情報セキュリティ水準を向上させることを目的としています。

ペネトレーションテストとは?

ペネトレーションテストとは、脅威に基づいて攻撃シナリオを構築し、実際に攻撃を試みることで、システムへの侵入可否や脆弱性の有無を調査します。

こんな課題をお持ちではありませんか?

  • 自社のシステムにどのような脆弱性があるのか把握できていない
  • セキュリティ対策を講じたが、本当に攻撃を防げるのか不安
  • 最新のサイバー攻撃に対する耐性をテストしたい
  • クラウド環境や社内ネットワークの安全性を調査したい
Service

ペネトレーションテストでできること

攻撃者の視点で
システムを調査

実際の攻撃手法を用いて、脆弱性の悪用可否や悪用された場合の影響度を調査。

侵入経路・影響範囲の
可視化

攻撃者がどこから侵入できるか、侵入後にどのような情報や権限にアクセス可能かを明らかにします。

侵入後の
影響を分析

取得できるデータや、さらなる攻撃の可能性を調査し、リスクを評価。

主な実施項目

01システム情報及び脆弱性情報等の収集
  • ネットワーク情報の収集
  • システム情報の収集
  • Webアプリケーション情報の収集
  • 脆弱性情報の収集
  • ユーザ情報の収集
02対象ホストへの侵入可否の調査及び分析
  • OS、ミドルウェア、 Webアプリケーションの脆弱性調査
  • 認証サービスの稼働状況の調査
  • ユーザ情報の調査
  • プロダクト固有のデフォルトユーザ情報の調査
03侵入可能な攻撃の実行
  • ユーザID、パスワードを使用したログイン試行
  • OS、ミドルウェア、 Webアプリケーションの脆弱性を利用したコマンドの実行
  • OS、ミドルウェア、 Webアプリケーションの脆弱性を利用した情報の窃取
04侵入後の攻撃活動
  • 一般ユーザから管理者への権限昇格の実行
  • システム内部の情報収集
  • 侵入に成功したホストと同様の手法で他ホストへの侵入
  • 侵入に成功したホストを踏み台にした他ホストへの侵入
Flow

診断の流れ

01
事前ヒアリング
診断対象のシステムやネットワーク環境を確認。
セキュリティ要件や診断のスコープを決定。
02
実施計画書の作成
攻撃シナリオを策定し、具体的な実施内容やスケジュール等を記載
03
ペネトレーション
テストの実施
計画に基づき、ペネトレーションテストを実施。
04
結果分析・評価
脆弱性の深刻度を分類し、対策を検討
05
報告書の作成
詳細は診断結果と推奨対策を記載
06
報告会の実施
対策の優先順位や実施方法を説明
Diagnostic Scenarios

ペネトレーションテストの診断シナリオ

01外部からの侵入シナリオ

外部へ公開されたシステムへの侵入可否、侵入後は内部ネットワークへの侵入拡大を調査し、機密情報の取得を狙います。

02内部からの侵入シナリオ

脆弱性が残存しているサーバ又は脆弱なアカウントを調査し、ADやDBに登録されているユーザ情報や機密情報の取得を狙います。

03クラウド環境への攻撃

クラウドアカウントの乗っ取り、設定ミスを利用した情報窃取の調査。

04内部運用管理者を悪用した攻撃

運用担当者のアカウントを使用した不正アクセスの可否を調査。

その他の侵入シナリオ例

Reporting and Actions

テスト結果の報告と対応策

リスクレベルごとの評価(CVSS基準に準拠)

推奨される対策の提案

脆弱性の悪用・侵入可否の調査結果や影響、推奨対策を提示

脆弱性診断と比較して、実用的かつ事実ベースで推奨対策や対策の優先度を提供

Benefits

導入メリット

  • 攻撃者の視点から、実践的なセキュリティ評価が可能
  • クラウド・オンプレミスを含めた包括的な診断に対応
  • レポートや報告会を通じて、実用的な改善策を提示
  • セキュリティ対策の妥当性を調査し、企業の防御力を強化

Get in Touch

お問い合わせ

サイバー攻撃対策・脆弱性診断・インシデント対応など、
お客様のニーズに合わせた最適な
ソリューションをご提案します。
まずはお気軽にご相談ください!

お問い合わせフォーム
Pagetop