脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体（もしくはその一部）の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

お客様の現状を一定レベルまで把握した上で、どこに攻撃面があるのか、組織としての脆弱性がどこにあるのかを検討し、スレットモデリング（脅威モデル）を机上で行います。

そのモデルを元に、攻撃者の立ち位置（悪意のあるリモートユーザー、社内のスタッフ、取引先業者等）、前提条件（社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど）、成功要件（権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど）を検討し攻撃シナリオを決定します。

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃（ペネトレーションテスト）を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための要件を定義、取るべき対策に優先順位と達成目標を決定します。

決定した要件、達成目標に対して実際にセキュリティ向上策を実施。修正や運用の支援を行います。

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。

まずはフォームにてお問い合わせ下さい。差支えのない範囲で対象の詳細をいただけるとヒアリングがスムーズに運びます。

クライアント様のご要望をヒアリングして、診断・テスト対象（スコープといいます）の選定を行います。メールやお電話、ビデオ会議でのご対応も可能です。事前にNDA（秘密保持契約書）が必要でしたらヒアリング前にご用意下さい。 また、内容によってはこの段階でPGP公開鍵の交換をさせていただくこともあります。 ※対面で遠隔地の場合は交通費をいただくことがあります。必要な際は事前にお知らせいたします。

ヒアリングで選定したスコープに基づいてお見積りいたします。

以降のセンシティブな情報をやり取りする前に暗号化プログラム（PGP）をご導入いただき、公開鍵を交換させていただきます。 ※PC上の操作等の詳細は弊社担当におたずね下さい。

ご契約書、NDA（秘密保持契約書）等を締結させていただきます（クライアント様で専用のフォームがありましたらそちらをご用意いただいても構いません。）

クライアント様から弊社へ対象システムの情報をご提供下さい。診断に使用するテスト用ユーザーの管理者やユーザー等複数のアカウントを作成いただくことがあります。詳細は打ち合わせで決定いたします。

対象となるシステムのホスティングサービスやレンタルサーバー、VPS等のISPベンダー様やシステム管理者、WEBアプリケーション開発ベンダー様等へ診断を実施する日時やIPアドレス等の通知をクライアント様から行っていただくようお願いしております。これは悪意のあるパケットと診断のパケットとを切り分けていただくためです。

事前に打ち合わせた日程で診断を実施いたします。緊急に対応が必要な項目が見つかりましたら報告書発行を待たずにすぐにクライアント様へご通知いたします。

下記の構成で報告書を作成いたします。 報告書の内容は非常にセンシティブな内容となりますのでお取り扱いには十分ご注意下さい。弊社からも注意点等ご説明させていただきます。メール送信の際はPGPにて暗号化してお送りいたします。

報告書の内容を元に報告会を行います。ビデオ会議でのご対応も可能です。 ※遠隔地の際は交通費は別途ご請求させていただきます。

診断結果を元に修正される際は開発ベンダーさまへのサポートも実施いたします。 診断書のファインディングスに基いた項目に限りメールやお電話でのご対応は無料ですが、対面でのご対応は有償とさせていただいております。