ぺネトレーションテスト サービス
昨今自社の被害にとどまらず、取引先に甚大な被害を与えるサプライチェーン攻撃など、サイバー攻撃は企業経営に甚大な被害を与える脅威となりつつあります。
IT基盤の脆弱性リスクを極小化するためには、ミドルウエアやアプリケーションを常に最新のバージョンで使用する必要があります。ただ現実的には、その費用や工数及び予期せぬ不具合が与える業務への影響など、アップグレード作業自身の妥当性とそれを行わない場合のリスクの適切な判断が重要となります。その適切な判断のベースとなるのが、インフラの正確な問題点の把握です。
オリゾンシステムズのぺネトレーションテスト(侵入テスト)サービスでは、お客様よりご提供いただいたIPアドレスを侵入口として、様々なハッキング手法を試み、その過程で確認された脆弱性やインフラの問題点などをご報告します。
テストの実施概要
実際のぺネトレーションテストは、オリゾンシステムズが提携するチェコ共和国(ブルノ市)の専門企業 Trusted Network Solutions により実施されます。成果物となるテストレポート原本を同企業が作成した後、オリゾンシステムズの専門担当員が同企業と連携し日本語版を作成しご提出いたします。
またコースにより、ご希望に応じて同企業の担当者を交えたご説明会をご提供いたします。
テストに際しては、以下の情報を含むシステム環境情報のご提供をお願いいたします。
- テスト対象のIPアドレス(URL含む)
※除外すべき特定のURLやポートなどあれば、あらかじめお知らせください。 - IDS/IPS/WAFなどが設置され、それらにより除外対象となっているIPアドレスやポート
- ご希望されるテスト実施日または回避されるべきテスト実施日
- DoS(サービス妨害)攻撃テストの実施希望の有無
※ご希望されるコースにより、ご提供をお願いする情報は異なります。
コース詳細
ぺネトレーションテスト対象は、「プラットフォームテスト」及び「Webアプリケーションテスト」の2つのコースにより構成されています。具体的なご用件に従い、お見積もりをさせていただきます。またモバイルアプリケーションに対するテスト、およびDoS攻撃シミュレーションテストも別途、テスト環境などご確認させていただいた上で承っております。 お問い合わせ・お見積もり依頼フォーム より、お問合せください。
プラットフォームテストでは、ネットワークの規模を基準に小規模向け、中規模向け、及び大規模むけコースをそれぞれご用意しています。
| 構成 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
| IP数 | 7 | 11 | 無制限 |
| サービス数 | 21 | 50 | 無制限 |
| レポート | 簡易レポート | フルレポート | フルレポート |
| 説明会 | なし | あり | あり |
| テスト時間帯 | 日本時間16:00-24:00 | 日本時間16:00-24:00 | 日本時間16:00-24:00 |
※サービス数とは有効化されているサービス(http/ftp/sshなど)の総数となります。正確な把握が困難な場合には事前調査を実施させていただきます。
Webアプリケーションテストでは、それぞれのアプリケーション要件を踏まえ、「標準」「拡張」そして「個別」の3段階のテストスコープをご用意しております。
| スコープ | 標準 | 拡張 | 個別 |
|---|---|---|---|
| 対応業務 | 企業一般、汎用Eコマース | 金融機関オンライントランザクション | ミッションクリティカルな固有業務(カスタム) |
| テストIDロール数想定 | 2以内 | 3以内 | 応談 |
| 入力域数想定 | 30以内 | 30以内 | 応談 |
| 説明会 | あり | あり | あり |
| テスト時間帯 | 日本時間16:00-24:00 | 日本時間16:00-24:00 | 日本時間16:00-24:00 |
実際のテスト対象となるシステムの要件は、個別状況により多様化する可能性があるため、これらのコース基準は目安としてお考えください。お問い合わせ・お見積もり依頼フォームよりお問い合わせいただき、折り返し、テストに必要な条件要素詳細についてご連絡させていただきます。
脆弱性テストとペネトレーションテスト
TNS社およびオリゾンシステムズでは、脆弱性検証として標準となるペネトレーションテストと、既知の脆弱性を自動ツールにより検出した簡易版となる脆弱性テストの2つの手法をご提供しています。それぞれ、以下のように仕様が定義されています。
ペネトレーションテスト
ペネトレーションテストは、ネットワークまたはアプリケーションに対する標的型サイバー攻撃をシミュレートし、実施されます。サイバーセキュリティの専門家により、実践的な調査と脆弱性を悪用し、事業運営を混乱させる可能性のある問題点の網羅的把握を目標としています。テストでは実際の被害は発生させずに、パスワード クラッキング、SQL インジェクションなどの様々な手法を使用して、実際の脆弱性を検証していきます。
このアプローチの利点は、すべての脆弱性に関する情報を (脆弱性診断のように) 取得したうえで、実際の攻撃を想定した潜在的な問題の検証が行われる点にあります。
このテストでは、汎用の自動スキャナーだけでなく、関連する特殊なツールも使用します。お客様の要件に基づいて、特定の脅威とシナリオに焦点を当てることができます。
要点(ペネトレーションテストとは)
● 自動化ツールと手動によるテストの組み合わせ● 脆弱性診断の結果も包含
● 詳細なレポートとエグゼクティブ サマリー
● 結果に基づく全体的なリスク評価
● 多角的検証の実施による高い付加価値のご提供
脆弱性テスト(脆弱性診断)
脆弱性テストの主な焦点は、ネットワーク/Web アプリケーションの既知の脆弱性を可能な範囲で多く発見することとなります。 CVEデータベースを参照し、汎用スキャナーにより、使用されているサービス、フレームワーク、または製品に既知の脆弱性が含まれているかどうかを検出します。
このアプローチの利点は、環境の全体像をすばやく把握できる点となります。一方、欠点としては、その検出結果が機械的なツールによるものとなるため、適切でない場合もあり、別途セキュリティ管理者が、その結果を自社の環境と照らし合わせ評価する必要がある点です。
システムに存在する脆弱性がどの程度実際に悪用可能であるかの評価は、脆弱性テストの範囲では十分な回答をご提供することはできません。限られた範囲のテストとなるため、全体的な付加価値は限定的となります。
TNS社では、主に Nessus Professional Vulnerability Scanner と Burp Suite Pro を脆弱性の診断に使用しています。他のオープンソース ツールも、適宜使用される場合があります。
要点(脆弱性テストとは)
● 自動ツールのみを使用したテスト● 一部コメントを付した自動生成レポートのご提供
● レポートに対しては別途お客様側で評価が必要
● 限定的付加価値、脆弱性診断ツールによる簡易検証
テスト手法の選択
脆弱性テストにより、対象システムに対し簡易検証を行うことができる一方、その範囲及び正確性は限定的なものとなります。権限の妥当性の評価や入力フィールドの脆弱性を生む複雑なシナリオにより確認される問題の確認には、ペネトレーションテストの実施が求められます。
備考
以下のソフトウエア類が、主に当該テストで使用されます。
- Nessus Professional Vulnerability Scanner
- Burp Suite Pro
- Metasploit
- OWASP Zed Attack Proxy
- Wireshark
- Nmap
- Dirbuster, dirb, dirsearch
- Kali Linux
以下の各標準を適宜参照し、当該テストは立案実施されます。
- OWASP: Open Web Application Security Project
- OSSTMM: Open Source Security Testing Methodology Manual
- PTES: Penetration Testing Execution Standard
- NIST (National Institute of Standards and Technology) 及び ISACA (Information Systems Audit and Control Association) 関連標準
※テストの実施スケジュールについては、個別の調整となります。
- お見積依頼、お問い合わせはこちらからどうぞ
