• ペネトレーションテストサービス

    世界最高水準のセキュリティエンジニアリング技術を誇る、ウクライナE-Light社と連携

  • ペネトレーションテスト

    ペネトレーションテスト(通称ペンテスト)とは、コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法です。

     

    特に、ネットワーク接続された情報システムが外部からの攻撃に対して安全かどうか、実際に攻撃手法を試しながら安全性の検証を行います。不正に侵入できるかどうかだけでなく、DoS攻撃にどのくらい耐えられるか、社員のIDで社長のIDに不正侵入できるかを調べたり、侵入された際にそこを踏み台にして他のネットワークを攻撃できるかを調べたりすることも可能です。

    サイバー攻撃の実態

    エリートハッカーは非常に巧妙に、そして鍛え上げられた実力をフルに活用して、容赦なく攻撃をしかけてきます。脆弱性のあるシステムを利用し続けている場合、訓練を受けた、たった1人のエリートハッカーが、たった1台のパソコンから発した命令によってこのような被害があります。

    • 機能不全(サイト、サーバー、機能停止状態)に陥ります
    • 社員や会社の情報が持ち出されます
    • 顧客データ、ID/PASSが流出します
    • 開発中の新製品の情報が盗まれます
    • 気づかぬうちに、定期的に社外秘情報をのぞかれます。
  • NI3×E-Light ペネトレーションテストの特徴

    世界最高水準の技術を駆使したサービスを提供:E-Light社について

    様々なケースを想定したテストが可能

    外部からの攻撃対策のみならず、内部でセキュリティ問題が発生した場合を想定したペネトレーションテストも実施可能

    *想定ケース例

    1. BLACK-BOXテスト:システムの内部構造とは無関係に、外部から見た機能を検証します。
    2. Gley-BOXテスト:システムの管理者IDを利用して、内部社員の協力が得られたらどこまで不正ができるか確認します。
    3. WHITE-BOXテスト:システム内部の構造を理解した上でそれら一つ一つが意図した通りに動作しているかを確認します。

    テスト項目例

    セキュリティ状況を多角的に判断するため、複合的なテストを推奨します

    *テスト対象のシステムの例

    • 重要インフラシステム
    • 社内の基幹システム
    • ポータルサイト(portal site)
    • ウェブサイト(website)
    • サービス管理インターフェイス(interface of service control)
    • CRMとERPシステムの外部WEBインターフェイス
    • インターネットクライアントバンクシステム
    • 請求システム(ビリングシステム)
    • マルチレベルの認証システム(multilevel authentication systems)
    • 不正防止システム(anti-fraud systems)
    • その他

      テストケース:WEBアプリケーションテスト

      まずは、外部との接点であるWEBサイトから

      自社開発自動ソフトと専門家の手作業を繰り返して行い、脆弱性を検出します。基本的にOWASP基準になっている項目はすべてチェックし、それに加え、熟練の技術者の経験からくる勘や、鋭い感性から織りなす複合的なアイデアを用いて、侵入実験を行います。

       

      *テスト対象となるサイバー攻撃例

      • SQL Injection
      • Cross-Site Scripting
      • Content Spoofing
      • OS Commanding
      • 認証(authentication)と承認(authorization)の不具合で生じる脆弱性
      • その他
      All Posts
      ×