• ペネトレーションテスト - WEBアプリケーション

News


セキュリティイニシアティブのサービス

GIAC認定者によるペネトレーションテスト

ペネトレーションテストの詳細ページへ 脆弱性診断の詳細ページへ WEB開発のコンサルティングページヘ
ペネトレーションテストは攻撃者が実際に行う手法・ツール・考え方を基に、自動スキャナーで感知できない脆弱性を徹底的に追求して、実際にWEBアプリケーションへ擬似的に攻撃を仕掛けます(ペネトレーションテスト)。さらに深いレベルでのセキュリティ上の問題を実際に見える形で証明・報告いたします。 脆弱性診断は攻撃者によるWEBアプリケーションからの情報漏洩や改ざんを防ぐために、潜在的なセキュリティーホールの発見・検出を自動スキャナーにより行い、自動スキャナーの誤報を手動で確認して正確にリスクを調査いたします。お手軽に現状理解するスタート地点として脆弱性診断がおすすめです。 弊社の得意とするペネトレーションテストや脆弱性診断をクライアント様のご要望に合わせて開発中のWEBアプリケーションへ段階的にテストを行い、特定のアプリケーションにおけるセキュリティの現状理解、問題の早期発見を高めるお手伝いをいたします。

セキュリティイニシアティブの特徴

国際基準に準拠したペネトレーションテスト

国際水準のペネトレーションテスト弊社のペネトレーションテストは国際的に高度セキュリティ認定資格として認知されるGIAC認定者によるテストです。

各種国際基準やメソドロジーに準拠したペネトレーションテストに対応。英文での報告書作成も承ります。

また、PCI DSS Requirement 11.3準拠のペネトレーションテストも対応いたします。弊社テスターはPCI DSS推奨のペネトレーションテスターGIAC GPEN, GWAPT認定者であり、PCI DSSを熟知するPCI SSC PCI Professional認定も受けております。

攻撃者視点のペネトレーションテスト

攻撃者視点での脆弱性診断やペネトレーションテスト「セキュリティの脅威は攻撃者である」という明確なポリシーのもと、攻撃者視点をなによりも重視してテストを行います。絵に描いた安心安全ではなく、「何をどう攻撃されるのか?」「どこが弱点なのか?」を最優先に追求いたします。

また、テストに使用するツールやデータベースは実際に攻撃者が利用するものと同じものを使用いたします。ツールのコマーシャルライセンスについてはそのほとんどをテスト担当者が所有しておりますのでクライアント様から特別にご指定のない限りは必要ありません。

責任者からエンジニアまで幅広い担当者レベルに対応する報告書

セキュリティ診断報告書脆弱性診断報告書やペネトレーションテスト報告書は責任者さまから開発者さままで幅広くリスク判断が出来るよう5つの構成で作成いたします。
また発見された脆弱性の修正に必要な詳細情報も「ファインディングス詳細」に記載しております。
report_composition_s_488140

ペネトレーションテスト後のコンサルティングは無料です

報告会とコンサルティングペネトレーションテストの目的は単なる技術的脆弱性の診断ではなく組織としての「ビジネスリスクの把握」そして最終目標は「ビジネス上のセキュリティ向上」です。テストを行い報告書を作成するだけでは現状理解に過ぎません。修正のコンサルティングや修正後のテストまで同一のペネトレーションテスターによって実施する必要があります。

ペネトレーションテスト後の報告会はプロジェクトを実施したテスターにより行います。報告会は2時間まで費用に含みます。また、テスト後のエンジニア様による修正作業に関するコンサルティング、修正後の再テストも費用に含まれております。

成熟した市場を持つアメリカの深い知識と経験を活かした国際水準のペネトレーションテスト

最先端のペネトレーションテスト弊社ではアメリカで15年の深い知識と経験を持つSecurity Aim社とパートナーシップを結び、国内に最先端のペネトレーションテストを提供いたします。

SecurityAim社の代表Dmitry Dessiatnikov氏は世界のセキュリティ人材育成のトップ組織であるSANS Instituteのインストラクターも務め世界中でセキュリティコンサルティングやセキュリティ人材育成等で活躍するペネトレーションテスターです。