ペネトレーションテスト

青い光の曲線が流れるように描かれた抽象的なデザイン
SynXのホワイトハッカーが、実際の運用環境に近い条件で、攻撃者の視点に立ったシナリオや目的に基づいて、防御体制の弱点を検証します。 脆弱性の発見にとどまらず、攻撃経路の可視化、被害範囲の推定、再発防止策の提案までを含め、包括的に支援を行います。
Penetration testing

ペネトレーションテスト(侵入テスト)

  • 攻撃者視点での実践的な診断

    現実的な攻撃シナリオに基づく侵入検証

    SynXのホワイトハッカーが実際の運用環境に近い条件で、攻撃者の視点に立ったシナリオや目的に基づいて、防御体制の弱点を検証します。ソーシャルエンジニアリングやブルートフォース攻撃など、通常の診断では扱わない手法も用いて侵入を試みます。
  • 被害の可視化と再発防止まで支援

    被害の可視化と再発防止まで支援

    脆弱性の発見にとどまらず、攻撃経路の可視化や被害範囲の推定、再発防止策の提案までを含めて、包括的な支援を行います。
  • リアルタイムでの防御力の評価・支援

    リアルタイムでの防御力の評価・支援

    実際に攻撃を行うレッドチーム側とお客様の環境内で攻撃を防御するブルーチーム側に分かれて演習を行い、システムの防御力や復旧力を評価・支援することが可能です。
List of Assessment Items

診断項目

Webぺネトレーションテスト

WebアプリケーションやAPIを対象に、認証・認可の不備、セッション管理の問題、XSSやSQLインジェクションなど、さまざまな攻撃手法を主に手動で検証し、実際に成立し得る攻撃シナリオとその影響を明確化します。


ネットワークぺネトレーションテスト

外部または内部ネットワークからサービスの露出や設定等を確認し、既知の脆弱性、アクセス制御や設定の不備、プロトコルの弱点などを起点に、成立し得る攻撃シナリオの検証と、その影響を明確化します。必要に応じて、横展開や権限昇格の可能性も検証し、影響範囲と具体的な対策を提示します。

IoTぺネトレーションテスト

IoT機器の通信、ハードウェア層、クラウド連携を対象に、実際の攻撃を再現して脆弱性を特定します。多層的な攻撃耐性を評価し、再発防止策を提案することで、安全なIoTエコシステムの構築を支援します。


ゲームぺネトレーションテスト

オンラインゲームやスマートフォンゲームを対象に、不正アクセス、データ改ざん、チート行為などを想定した侵入検証を行います。プレイヤーデータや課金情報の保護、運営体制の強化に貢献します。


診断の流れ

ヒアリング
1
ヒアリング
ご希望の診断内容について詳細をお伺いし、お見積りに必要な情報をヒアリングいたします。

具体的な診断内容が決まっていない場合には、当社からのご提案も可能です。

・診断内容
・診断対象(診断範囲)
・診断期間
・予算
お見積もり
2
お見積もり
ご提供いただいた情報から、診断対象の規模感や工数を算出し、御見積書を作成いたします。

※診断実施前にヒアリングシートの記入をお願いしております。
※Webアプリケーション診断において、リクエスト数算出のため、クローリングが必要な場合は別途ご相談ください。
お見積り算出までにお時間がかかる場合があります。
診断実施
3
診断実施
セキュリティエンジニアによる脆弱性診断の実施。自動診断ツールと手動診断を組み合わせて行います。

緊急度の高い脆弱性が発見された場合は、発見から翌営業日までに、速報としてご報告します。
報告書提出
4
報告書提出
検出された脆弱性の「内容、リスク、対策」などをまとめた報告書を提出します。

レポートの作成期間は、診断終了から3営業日が目安となります。
修正確認
5
修正確認
脆弱性診断で検出された脆弱性については、お客様で修正が完了した後、 修正が適切かどうかを確認する「修正確認」を実施します。 修正確認終了後、確認内容をご報告いたします。

※報告会の実施をご希望の場合は、オプションとなりますので、別途ご相談ください。

ペネトレーションテストは、診断対象・範囲・攻撃シナリオに応じて、個別にお見積りしています。 

「ペネトレーションテストが必要か分からない」 という段階でも問題ありません。
ご状況をお伺いし、最適な診断方法をご提案します。
お気軽にお問い合わせください。

      お問い合わせはこちら     
ペネトレーションテストのサービス資料は
下記よりダウンロードいただけます。

資料の内容

  • 脆弱性診断サービスの詳細
  • 診断の流れ
  • ペネトレーションテストサービスの詳細
  • 費用