閲覧するためには、パスワードが必要になります。閲覧するには以下にパスワードを入力してください。
閲覧するためには、パスワードが必要になります。閲覧するには以下にパスワードを入力してください。
昨今自社の被害にとどまらず、取引先に甚大な被害を与えるサプライチェーン攻撃など、サイバー攻撃は企業経営に甚大な被害を与える脅威となりつつあります。
IT基盤の脆弱性リスクを極小化するためには、ミドルウエアやアプリケーションを常に最新のバージョンで使用する必要があります。ただ現実的には、その費用や工数及び予期せぬ不具合が与える業務への影響など、アップグレード作業自身の妥当性とそれを行わない場合のリスクの適切な判断が重要となります。その適切な判断のベースとなるのが、インフラの正確な問題点の把握です。
オリゾンシステムズのぺネトレーションテスト(侵入テスト)サービスでは、お客様よりご提供いただいたIPアドレスを侵入口として、様々なハッキング手法を試み、その過程で確認された脆弱性やインフラの問題点などをご報告します。
実際のぺネトレーションテストは、オリゾンシステムズが提携するチェコ共和国(ブルノ市)の専門企業 Trusted Network Solutions により実施されます。成果物となるテストレポート原本を同企業が作成した後、オリゾンシステムズの専門担当員が同企業と連携し日本語版を作成しご提出いたします。
またコースにより、ご希望に応じて同企業の担当者を交えたご説明会をご提供いたします。
テストに際しては、以下の情報を含むシステム環境情報のご提供をお願いいたします。
※ご希望されるコースにより、ご提供をお願いする情報は異なります。
ぺネトレーションテスト対象は、「プラットフォームテスト」及び「Webアプリケーションテスト」の2つのコースにより構成されています。具体的なご用件に従い、お見積もりをさせていただきます。またモバイルアプリケーションに対するテスト、およびDoS攻撃シミュレーションテストも別途、テスト環境などご確認させていただいた上で承っております。 お問い合わせ・お見積もり依頼フォーム より、お問合せください。
プラットフォームテストでは、ネットワークの規模を基準に小規模向け、中規模向け、及び大規模むけコースをそれぞれご用意しています。
構成 | 小規模 | 中規模 | 大規模 |
---|---|---|---|
IP数 | 7 | 11 | 無制限 |
サービス数 | 21 | 50 | 無制限 |
レポート | 簡易レポート | フルレポート | フルレポート |
説明会 | なし | あり | あり |
テスト時間帯 | 日本時間16:00-24:00 | 日本時間16:00-24:00 | 日本時間16:00-24:00 |
※サービス数とは有効化されているサービス(http/ftp/sshなど)の総数となります。正確な把握が困難な場合には事前調査を実施させていただきます。
Webアプリケーションテストでは、それぞれのアプリケーション要件を踏まえ、「標準」「拡張」そして「個別」の3段階のテストスコープをご用意しております。
スコープ | 標準 | 拡張 | 個別 |
---|---|---|---|
対応業務 | 企業一般、汎用Eコマース | 金融機関オンライントランザクション | ミッションクリティカルな固有業務(カスタム) |
テストIDロール数想定 | 2以内 | 3以内 | 応談 |
入力域数想定 | 30以内 | 30以内 | 応談 |
説明会 | あり | あり | あり |
テスト時間帯 | 日本時間16:00-24:00 | 日本時間16:00-24:00 | 日本時間16:00-24:00 |
実際のテスト対象となるシステムの要件は、個別状況により多様化する可能性があるため、これらのコース基準は目安としてお考えください。お問い合わせ・お見積もり依頼フォームよりお問い合わせいただき、折り返し、テストに必要な条件要素詳細についてご連絡させていただきます。
TNS社およびオリゾンシステムズでは、脆弱性検証として標準となるペネトレーションテストと、既知の脆弱性を自動ツールにより検出した簡易版となる脆弱性テストの2つの手法をご提供しています。それぞれ、以下のように仕様が定義されています。
ペネトレーションテストは、ネットワークまたはアプリケーションに対する標的型サイバー攻撃をシミュレートし、実施されます。サイバーセキュリティの専門家により、実践的な調査と脆弱性を悪用し、事業運営を混乱させる可能性のある問題点の網羅的把握を目標としています。テストでは実際の被害は発生させずに、パスワード クラッキング、SQL インジェクションなどの様々な手法を使用して、実際の脆弱性を検証していきます。
このアプローチの利点は、すべての脆弱性に関する情報を (脆弱性診断のように) 取得したうえで、実際の攻撃を想定した潜在的な問題の検証が行われる点にあります。
このテストでは、汎用の自動スキャナーだけでなく、関連する特殊なツールも使用します。お客様の要件に基づいて、特定の脅威とシナリオに焦点を当てることができます。
要点(ペネトレーションテストとは)
● 自動化ツールと手動によるテストの組み合わせ脆弱性テストの主な焦点は、ネットワーク/Web アプリケーションの既知の脆弱性を可能な範囲で多く発見することとなります。 CVEデータベースを参照し、汎用スキャナーにより、使用されているサービス、フレームワーク、または製品に既知の脆弱性が含まれているかどうかを検出します。
このアプローチの利点は、環境の全体像をすばやく把握できる点となります。一方、欠点としては、その検出結果が機械的なツールによるものとなるため、適切でない場合もあり、別途セキュリティ管理者が、その結果を自社の環境と照らし合わせ評価する必要がある点です。
システムに存在する脆弱性がどの程度実際に悪用可能であるかの評価は、脆弱性テストの範囲では十分な回答をご提供することはできません。限られた範囲のテストとなるため、全体的な付加価値は限定的となります。
TNS社では、主に Nessus Professional Vulnerability Scanner と Burp Suite Pro を脆弱性の診断に使用しています。他のオープンソース ツールも、適宜使用される場合があります。
要点(脆弱性テストとは)
● 自動ツールのみを使用したテスト脆弱性テストにより、対象システムに対し簡易検証を行うことができる一方、その範囲及び正確性は限定的なものとなります。権限の妥当性の評価や入力フィールドの脆弱性を生む複雑なシナリオにより確認される問題の確認には、ペネトレーションテストの実施が求められます。
以下のソフトウエア類が、主に当該テストで使用されます。
以下の各標準を適宜参照し、当該テストは立案実施されます。
※テストの実施スケジュールについては、個別の調整となります。
常に進化し続ける攻撃手法への脆弱性を検証します
特にヨーロッパ圏の顧客システムへのぺネトレーションテストで豊富な経験を持つ専門家により、インターネット経由でテストが実施され、脆弱性などの有無を検証します。
さまざまな検証手法を使用し、客観的な評価をもとに、現状の問題点の洗い出しを行い、その詳細をレポートとしてご提供いたします。
確認された脆弱性に対しては、求められる適切な対応策をご提示し、その対応に関するご相談をお受けいたします。
使用されるアプリケーション コンポーネント、認証メカニズム、使用される暗号化セット、およびそれらの誤用の可能性に焦点を当てます。
IT基盤に対するサイバー攻撃への耐性を確認します。システムやデータへの不正アクセスに対する保護に焦点を当てます。
保存データのセキュリティの検証など、モバイルアプリケーションのセキュリティレベルに焦点を当てたセキュリティ監査を行います。
ストレステストを実施し、システムとアプリケーションがどのような攻撃圧力に耐えられるかを確認します。
当サービスの背景およびご提供概要について、以下に解説させていただきます。