Q&A

テスト手法について

ブラックボックスでのテストは可能ですか?

ブラックボックステストはその効率の悪さから時間がかかりクライアント様に余分に費用がかかってしまうため弊社ではグレーボックステストを推奨しておりますが、それに近い形でのご対応は可能です。意図しない対象へのパケット送信を避けるためIPアドレス等多少の情報は必ずいただくことになります。可能な限りブラックボックスに近づけるためのノウハウはございますので詳細はご相談下さい。

ブラックボックステストとは?

診断対象についての情報を何も与えられずにテストを行うことです。組織名のみといった形で非常に限られた情報しか与えられません。
対象がはっきりしない状況でのテストのため下調べの時間も長く効率も悪く、テスト対象外への間違ったトラフィックの送信等も考えられリスクも高いテスト方法です。

ホワイトボックステスト(クリスタルボックス)とは?

対象のシステムやアプリケーションの全ての情報を開示していただいた上でテストを実施することです。管理者や開発者との密なコミュニケーションも許され、システム構成、ネットワーク構成、プログラムのコード等すべてを明らかにして実施します。
実際の攻撃者との環境と離れすぎることや、不要な情報もテスターに与えてしまうというマイナス点があります。

グレーボックステストとは?

ブラックボックスとホワイトボックスの中間で、限られた情報が与えられます。また、メンバー専用ページ等のユーザーアカウントもテスト用にいくつか作成していただきパスワードクラッキング等の無駄な時間を省いた上で行います。
攻撃者に近い環境をシミュレートしつつ、取りこぼしなく無駄な時間をかけないよう、またリスクも可能な限りコントロールした上で効率的にテストを行います。
グレーボックスであっても必要であればコードレビューを行うこともあります。

初回打ち合わせについて

初回お打ち合わせは有料ですか?

初回お打ち合わせは2時間まで無料です。また、ご契約に至らなくてもコンサルティング料をご請求することはありません。

仙台市内や東京都内以外の遠隔地につきましては交通費を別途請求させていただいておりますが、ビデオ会議等でのご対応も可能です。お気軽にお問い合わせ下さい。

脆弱性診断・ペネトレーションテストについて

HTML5に対応していますか?

はい。対応しております。

サーバー停止は伴いますか?

基本的にサーバー停止は伴わないようリクエスト数を調整して実施しますが、テスト環境での実施や停止しての実施等、お客様のご要望にもお応えいたしますのでお気軽にご相談下さい。

ツールのライセンス料はかかりますか?

通常ツールを使用するユーザーに対してのライセンスとなっており、クライアント様毎にご用意頂く必要はありません。ライセンスは弊社のテスターが保有しておりますので通常はライセンス料等が別途発生することはありません。例外としてクライアント様で特別にツールのご指定がある場合で弊社にてライセンスを持っていない場合はご請求させていただくことがあります。

使用するツールは安全ですか?

ペネトレーションテストや脆弱性診断に使用するツールは世界中のセキュリティのプロフェッショナルの間で使用されているバックドアチェック済みの信用のあるツールを使用しておりますのでご安心下さい。

ブラックボックスでのテストは可能ですか?

ブラックボックステストはその効率の悪さから時間がかかりクライアント様に費用が余分にかかってしまうためおすすめしておりませんが、ご対応は可能です。ただし、意図しない対象へのパケット送信を避けるためIPアドレス等多少の情報はいただくことになります。可能な限りブラックボックスに近づけるためのノウハウはございますので詳細はご相談下さい。

WebSocketsへの対応は可能ですか?

WebSocketsを含むHTML5をご使用のアプリケーションに対しても脆弱性診断、ペネトレーションテスト双方ともご対応可能です。お気軽にご相談ください

ペネトレーションテスト・脆弱性診断後のご対応について

テストで発見された脆弱性の修正は?

テストで発見された脆弱性の修正に関しては、クライアント様で修正するか否かのご判断をいただき、アプリケーションを開発した開発ベンダー様にて行っていただきます。

診断後の報告書に含まれる修正範囲に関しては、メールやお電話でのご対応に限り無料で開発ベンダー様の修正作業をサポートいたします。訪問でのコンサルティングは有料とさせていただいております。

 

報告書について

報告書はどのような内容でしょうか?

下記の構成で報告書を作成いたします。

報告書はどのように受け取ることになりますか?

直接お渡し、配達証明付きでのご郵送、暗号化したメールでの送信のいずれかで行わせていただきます。暗号化メールをご希望の際は事前にPGP公開キーの交換をお願いしております(詳細はご説明いたします。)

報告書の内容は非常にセンシティブな内容となりますのでお取り扱いには十分ご注意下さい。弊社からも事前に注意点等ご説明させていただきます。

お問い合せ、お見積り依頼はこちらまで

脆弱性診断やペネトレーションテストのお問い合わせフォームへ