News


セキュリティイニシアティブのサービス

GIAC認定者によるペネトレーションテスト

ペネトレーションテストの詳細ページへ 脆弱性診断の詳細ページへ WEB開発のコンサルティングページヘ
ペネトレーションテストはテスターが悪意のある攻撃者として振る舞います。監査等で求められるリスクベースでのスレットモデリングを行い、前提条件と成功要件を設定しスレットモデリングに基づく想定シナリオを元に実際の攻撃を行います。
アクティブディレクトリ等の社内ネットワークに対するテストや、アプリケーションを起点としたテスト等、様々なシナリオに対応いたします。
脆弱性診断はペネトレーションテストと違い、全体網羅型の診断です。攻撃者による情報漏洩や改ざんを防ぐために、潜在的なセキュリティーホールの発見・検出を自動スキャナーにより行い、自動スキャナーの誤報を手動で確認して正確にリスクを調査いたします。お手軽に現状理解するスタート地点として脆弱性診断がおすすめです。
社内LANの診断やインターネットに接続した機器、アプリケーション等幅広く対応いたします。
弊社の得意とするペネトレーションテストや脆弱性診断をクライアント様のご要望に合わせて開発中のWEBアプリケーションへ段階的にテストを行い、特定のアプリケーションにおけるセキュリティの現状理解、問題の早期発見を高めるお手伝いをいたします。

セキュリティイニシアティブの特徴

国際基準に準拠したペネトレーションテスト

国際水準のペネトレーションテスト弊社のペネトレーションテストは国際的に高度セキュリティ認定資格として認知され、PCI DSS Penetration Testing Guidanceや経済産業省情報セキュリティサービス基準で推奨されるGIAC認定者によるテストです。

金融機関等でのペネトレーションテスト経験も豊富でPCI DSSやNIST SP800-115、OWASP ASVS等各種国際基準に準拠または基づいたペネトレーションテストや脆弱性診断に対応しております。

また、WEBアプリケーション脆弱性診断をご利用の際には、報告書と共にOWASP ASVS各レベル(Level1~3)準拠を証明する証明書の発行も承っております。

攻撃者視点のペネトレーションテスト

攻撃者視点での脆弱性診断やペネトレーションテスト「セキュリティの脅威は攻撃者である」という明確なポリシーのもと、攻撃者視点をなによりも重視してテストを行います。絵に描いた安心安全ではなく、「何をどう攻撃されるのか?」「どこが弱点なのか?」を最優先に追求いたします。

また、テストに使用するツールやデータベースは実際に攻撃者が利用するものと同じものを使用いたします。ツールのコマーシャルライセンスについてはそのほとんどをテスト担当者が所有しておりますのでクライアント様から特別にご指定のない限りは必要ありません。

責任者からエンジニアまで幅広い担当者レベルに対応する報告書

セキュリティ診断報告書脆弱性診断報告書やペネトレーションテスト報告書は責任者さまから開発者さままで幅広くリスク判断が出来るよう5つの構成で作成いたします。
また発見された脆弱性の修正に必要な詳細情報も「ファインディングス詳細」に記載しております。
report_composition_s_488140

ペネトレーションテスト後のコンサルティングは無料です

報告会とコンサルティングペネトレーションテストの目的は単なる技術的脆弱性の診断ではなく組織としての「ビジネスリスクの把握」そして最終目標は「ビジネス上のセキュリティ向上」です。テストを行い報告書を作成するだけでは現状理解に過ぎません。修正のコンサルティングや修正後のテストまで同一のペネトレーションテスターによって実施する必要があります。

ペネトレーションテスト後の報告会はプロジェクトを実施したテスターにより行います。報告会は2時間まで費用に含みます。また、テスト後のエンジニア様による修正作業に関するコンサルティング、修正後の再テストも費用に含まれております。

成熟した市場を持つアメリカの深い知識と経験を活かした国際水準のペネトレーションテスト

最先端のペネトレーションテスト弊社ではアメリカで15年の深い知識と経験を持つSecurity Aim社とパートナーシップを結び、国内に最先端のペネトレーションテストを提供いたします。

SecurityAim社の代表Dmitry Dessiatnikov氏は世界のセキュリティ人材育成のトップ組織であるSANS Instituteのインストラクターも務め世界中でセキュリティコンサルティングやセキュリティ人材育成等で活躍するペネトレーションテスターです。