プロジェクトのイメージ
 

脅威ベースのペネトレーションテストプロジェクトイメージ

 

ペネトレーションテストプロジェクトは経営方針や業務プロセスを考慮し、脆弱性診断によりスコープを決定し脅威ベースのペネトレーションテスト(TLPT)を実行いたします。

テスト実行後はテスト結果を再度経営方針と照らし合わせながらコストや時間といった限られたリソースを考慮し修正範囲を決定、運用・修正のための支援を行います

① 現状把握・脆弱性診断

脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

dotted_1pix_gray79041_02

② スコープ・シナリオ決定

お客様の現状をを一定レベルまで把握した上で、どこに攻撃面があるのか、組織としての脆弱性がどこにあるのかを検討し、スレットモデリング(脅威モデル)を机上で行います。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

dotted_1pix_gray79041_02

③ ペネトレーションテスト

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

dotted_1pix_gray79041_02

④ ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための要件を定義、取るべき対策に優先順位と達成目標を決定します。

dotted_1pix_gray79041_02

⑤ 運用実施・対策支援

決定した要件、達成目標に対して実際にセキュリティ向上策を実施。修正や運用の支援を行います。

dotted_1pix_gray79041_02

⑥ 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。

dotted_1pix_gray79041

上記結果から、継続的な課題解決のため次のプロジェクトとして②~⑥を実施します。

 

お問い合わせからペネトレーションテスト結果ご報告までのフロー

① お問い合わせ

ペネトレーションテスト・脆弱性診断のお問い合わせまずはフォームにてお問い合わせ下さい。差支えのない範囲で対象の詳細をいただけるとヒアリングがスムーズに運びます。
お問い合わせ dotted_1pix_gray79041_02

② ヒアリング(2時間まで無料)

ペネトレーションテスト・脆弱性診断のヒアリングクライアント様のご要望をヒアリングして、診断・テスト対象(スコープといいます)の選定を行います。メールやお電話、ビデオ会議でのご対応も可能です。事前にNDA(秘密保持契約書)が必要でしたらヒアリング前にご用意下さい。 また、内容によってはこの段階でPGP公開鍵の交換をさせていただくこともあります。 ※対面で遠隔地の場合は交通費をいただくことがあります。必要な際は事前にお知らせいたします。 dotted_1pix_gray79041_02

③ お見積り(無料)

ペネトレーションテスト・脆弱性診断のお見積りヒアリングで選定したスコープに基づいてお見積りいたします。 dotted_1pix_gray79041_02

④ PGP(GnuPG)公開キーの交換

PGP暗号化キーの交換以降のセンシティブな情報をやり取りする前に暗号化プログラム(PGP)をご導入いただき、公開鍵を交換させていただきます。 ※PC上の操作等の詳細は弊社担当におたずね下さい。 dotted_1pix_gray79041_02

⑤ ご契約

ペネトレーションテスト・脆弱性診断のご契約ご契約書、NDA(秘密保持契約書)等を締結させていただきます(クライアント様で専用のフォームがありましたらそちらをご用意いただいても構いません。) dotted_1pix_gray79041_02

⑥ 対象システムの情報ご提供

ペネトレーションテスト・脆弱性診断前のシステム情報クライアント様から弊社へ対象システムの情報をご提供下さい。診断に使用するテスト用ユーザーの管理者やユーザー等複数のアカウントを作成いただくことがあります。詳細は打ち合わせで決定いたします。 dotted_1pix_gray79041_02

⑦ 関係ベンダーさまやISPさまへのご連絡

ISPへのご連絡対象となるシステムのホスティングサービスやレンタルサーバー、VPS等のISPベンダー様やシステム管理者、WEBアプリケーション開発ベンダー様等へ診断を実施する日時やIPアドレス等の通知をクライアント様から行っていただくようお願いしております。これは悪意のあるパケットと診断のパケットとを切り分けていただくためです。 dotted_1pix_gray79041_02

⑧ 診断実施

ペネトレーションテスト・脆弱性診断実施事前に打ち合わせた日程で診断を実施いたします。緊急に対応が必要な項目が見つかりましたら報告書発行を待たずにすぐにクライアント様へご通知いたします。 dotted_1pix_gray79041_02

⑨ 報告書の作成

ペネトレーションテストや脆弱性診断の報告書について下記の構成で報告書を作成いたします。 報告書の内容は非常にセンシティブな内容となりますのでお取り扱いには十分ご注意下さい。弊社からも注意点等ご説明させていただきます。メール送信の際はPGPにて暗号化してお送りいたします。 dotted_1pix_gray79041 dotted_1pix_gray79041_02

⑩ 報告会(2時間まで診断費用に含みます)

ペネトレーションテストや脆弱性診断報告会について報告書の内容を元に報告会を行います。ビデオ会議でのご対応も可能です。 ※遠隔地の際は交通費は別途ご請求させていただきます。 dotted_1pix_gray79041_02

⑪ 開発ベンダー様へのサポート

診断後のサポート診断結果を元に修正される際は開発ベンダーさまへのサポートも実施いたします。 診断書のファインディングスに基いた項目に限りメールやお電話でのご対応は無料ですが、対面でのご対応は有償とさせていただいております。 dotted_1pix_gray79041

お問い合わせ