WEBペネトレーションテスト

サーバー管理のプロフェッショナル、スカイアーチと、サイバーセキュリティ対策の専門集団「スプラウト」のコラボで実現したセキュリティ＆リスクマネジメント

WEBペネトレーションテストとは？

ホワイトハッカーによる想定攻撃で、AWS、クラウドの運用リスクを洗い出す!

Webペネトレーションテストとは、お客様のWebサイトに対し現実に行なわれる可能性のある悪意のある攻撃を具体的に想定し、実地で試すテストです。実際のお客様のWEBサイトに対し、豊富な経験を持つ、優れたホワイトハッカーによる様々な現実に想定される攻撃を具体的に実施。お客様のWEBシステム全体の安全性を検証します。

ホワイトハッカーとは？

コンピュータやネットワーク技術において、優れた知識や高い技術を有するエンジニアを「ハッカー」と呼びます。ハッカーが持つ高度な技術を悪用し、コンピューターシステムに侵入し、情報を覗いたり、プログラムを書き換えたりする行為を「クラッキング」といい、悪用する者を「クラッカー」と呼ばれ差別化されていますが、この高度な技術を、善意によって駆使し、問題解決やセキュリティ対策に貢献するエンジニアの事を「ホワイトハッカー」と呼びます。

WEBペネトレーションテストに参加する
ホワイトハッカーの経歴

SIerにて機密保持レベルの高い多くの官公庁や大手企業向けシステム開発プロジェクトを経験
金融機関や大手ECサイトなど 300 を超えるネットワークおよびWebアプリケーションの診断を経験
CSIRT(Computer Security Incident Response Team) 立ち上げのプロジェクトリーダーを経験
某国立大学でのサイバーセキュリティおよびCTFに関する講義、ハンズオンの実施

WEBペネトレーションテストに参加する
ホワイトハッカーの能力・実績

数十のコンピュータ言語に精通し、開発、解析、評価が可能
OSやソフトウエアの内部構造を深く理解しているため、Web、ネットワークのみならず、独自通信や暗号処理を扱うソフトウエアの診断、モバイルアプリ、車載機器診断に至るまで幅広く対応可能
IPA（情報処理推進機構）へ複数の市販製品に存在した脆弱性を報告
攻撃を受けた様々な業種の企業からの緊急通報を受けて情報漏えい調査（インシデントレスポンス　およびデジタルフォレンジック）、報告を経験

WEBペネトレーションテストの特徴

調査対象

ペネトレーションテストでは、ご利用のシステム全体を俯瞰し情報を収集しつつ攻撃の突破口を探し、それらを利用しビジネスやシステムに致命的な損害を与える攻撃がどの程度成功するのかを実際に侵入して調査します。

調査の視点

個々の脆弱性を網羅的に診断したり、検出した脆弱性を足がかりに更に掘り下げ、できるだけ深刻な結論へ導きます。

考え方

外部との接点や独立性の高い箇所のセキュリティを強化するだけではなく、組織や企業にとって重要な情報の漏洩経路を割り出して対応し、リスクを最大限に洗い出します。

WEBペネトレーションテスト・プラン

ペネトレーションテストは、ご希望、用途によって以下のプランをご提供いたします。

網羅的な診断プラン

サイト全体を隈なく網羅的に、脆弱性が確認できないかを診断します。小さな問題も逃さず検出することで、情報の摂取や侵入などの大きな問題に発展する前に対策を行うことができます。サイトの構成（リクエスト数）に応じて、費用が増減します。

重要機能等から侵入を目的とする診断プラン

対象機能をサイト構成から限定し、侵入を試行し最大の危険度を検出することを目的として、複数の脆弱性を組み合わせて攻撃シナリオを構成し、システムへの直接アクセスや権限昇格、データベースからの情報取得など、特にビジネスインパクトの大きい脆弱性が存在しないか、また機微情報にどこまでリーチできるかを診断します。日数を限定し実施するため、サイトの構成（リクエスト数）には関係なく一律の費用で実施できます。

テスト内容

	事前準備	侵入糸口の調査	侵入調査
概要	調査に必要な情報を準備します。（ヒアリングシートへのご記入や打ち合わせをお願いいたします。）	侵入調査の糸口となる脆弱性を調査します。複数の弱点からターゲットへと至る突破口を見極めます	ターゲットへつながる経路を見つけ出し、最も効率的な方法でアプローチします
具体的内容	システムの構成情報ネットワーク情報（開発仕様書やAPIの一覧、サイトマップなどをご用意頂けると有効です。）	ツールによる重点箇所の絞り込みセキュリティエンジニアの技量を駆使した手動調査	フィルタリング回避パスワード解析辞書攻撃
備考	-	リモート/オンサイトの両方に対応稼働中のシステムでは負荷かけないよう慎重に対応