Webペネトレーションテスト

PENETRATION TEST

サーバー管理のプロフェッショナル、スカイアーチと、サイバーセキュリティ対策の専門集団「スプラウト」のコラボで実現したセキュリティ&リスクマネジメント


ホワイトハッカーによる想定攻撃で、
AWS、クラウドの運用リスクを洗い出す!

Webペネトレーションテストとは、お客様のWebサイトに対し現実に行なわれる可能性のある悪意のある攻撃を具体的に想定し、実地で試すテストです。実際のお客様のWEBサイトに対し、豊富な経験を持つ、優れたホワイトハッカーによる様々な現実に想定される攻撃を具体的に実施。お客様のWEBシステム全体の安全性を検証します。

ホワイトハッカーとは?

コンピュータやネットワーク技術において、優れた知識や高い技術を有するエンジニアを「ハッカー」と呼びます。ハッカーが持つ高度な技術を悪用し、コンピューターシステムに侵入し、情報を覗いたり、プログラムを書き換えたりする行為を「クラッキング」といい、悪用する者を「クラッカー」と呼ばれ差別化されていますが、この高度な技術を、善意によって駆使し、問題解決やセキュリティ対策に貢献するエンジニアの事を「ホワイトハッカー」と呼びます。

ペネトレーションテストに参加する
ホワイトハッカーの経歴

  • SIerにて機密保持レベルの高い多くの官公庁や大手企業向けシステム開発プロジェクトを経験
  • 金融機関や大手ECサイトなど 300 を超えるネットワークおよびWebアプリケーションの診断を経験
  • CSIRT(Computer Security Incident Response Team) 立ち上げのプロジェクトリーダーを経験
  • 某国立大学でのサイバーセキュリティおよびCTFに関する講義、ハンズオンの実施

WEBペネトレーションテストに参加する
ホワイトハッカーの能力・実績

  • 数十のコンピュータ言語に精通し、開発、解析、評価が可能
  • OSやソフトウエアの内部構造を深く理解しているため、Web、ネットワークのみならず、独自通信や暗号処理を扱うソフトウエアの診断、モバイルアプリ、車載機器診断に至るまで幅広く対応可能
  • IPA(情報処理推進機構)へ複数の市販製品に存在した脆弱性を報告
  • 攻撃を受けた様々な業種の企業からの緊急通報を受けて情報漏えい調査(インシデントレスポンス およびデジタルフォレンジック)、報告を経験

Webペネトレーションテストの特徴

調査対象

Webペネトレーションテストでは、ご利用のシステム全体を俯瞰し情報を収集しつつ攻撃の突破口を探し、それらを利用しビジネスやシステムに致命的な損害を与える攻撃がどの程度成功するのかを実際に侵入して調査します。

調査の視点

個々の脆弱性を網羅的に診断したり、検出した脆弱性を足がかりに更に掘り下げ、できるだけ深刻な結論へ導きます。

考え方

外部との接点や独立性の高い箇所のセキュリティを強化するだけではなく、組織や企業にとって重要な情報の漏洩経路を割り出して対応し、リスクを最大限に洗い出します。

Webペネトレーションテスト・プラン

Webペネトレーションテストは、ご希望、用途によって以下のプランをご提供いたします。

網羅的な診断プラン

サイト全体を隈なく網羅的に、脆弱性が確認できないかを診断します。小さな問題も逃さず検出することで、情報の摂取や侵入などの大きな問題に発展する前に対策を行うことができます。サイトの構成(リクエスト数)に応じて、費用が増減します。

重要機能等から侵入を目的とする診断プラン

対象機能をサイト構成から限定し、侵入を試行し最大の危険度を検出することを目的として、複数の脆弱性を組み合わせて攻撃シナリオを構成し、システムへの直接アクセスや権限昇格、データベースからの情報取得など、特にビジネスインパクトの大きい脆弱性が存在しないか、また機微情報にどこまでリーチできるかを診断します。日数を限定し実施するため、サイトの構成(リクエスト数)には関係なく一律の費用で実施できます。

テスト内容

事前準備 侵入糸口の調査 侵入調査
概要 調査に必要な情報を準備します。(ヒアリングシートへのご記入や打ち合わせをお願いいたします。) 侵入調査の糸口となる脆弱性を調査します。複数の弱点からターゲットへと至る突破口を見極めます ターゲットへつながる経路を見つけ出し、最も効率的な方法でアプローチします
具体的内容
  • システムの構成情報
  • ネットワーク情報
(開発仕様書やAPIの一覧、サイトマップなどをご用意頂けると有効です。)
  • ツールによる重点箇所の絞り込み
  • セキュリティエンジニアの技量を駆使した手動調査
  • フィルタリング回避
  • パスワード解析
  • 辞書攻撃
備考 -
  • リモート/オンサイトの両方に対応
  • 稼働中のシステムでは負荷かけないよう慎重に対応

報告書

ペネトレーションテストの終了後に以下の構成で報告書を提出いたします。

調査概要

調査の実施事項についての記載(調査のスコープ、調査日時)

総評

テストの結果について、総合評価指数、およびコメントを記載。

個別結果/対応方法

脆弱性別の対象箇所、結果、再現方法、対応方法を記載。

料金表

Webペネトレーションテストの料金表になります。

エンジニア 期間 費用
Webペネトレーションテスト 1人 1日 ¥200,000~
  • 表記は税抜きとなります。
  • 上記価格は目安になります。価格は診断内容により異なりますのでお問い合わせください。

備考

最終更新日

2017.10.18

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)