[SERVICES]
脆弱性診断
ペネトレーションテスト
脆弱性診断
攻撃の入口となりうる脆弱性を、ホワイトハッカーによる診断で迅速に洗い出す。診断の範囲や深さのカスタマイズ、発見した脆弱性の改修支援にも対応。
-
01
WEBサイト/
アプリケーション診断診断対象のWebサイト・アプリケーションに対し、パラメータの改ざんや不正な入力値の送信など、擬似的な攻撃を実施。システムの応答挙動を分析することで、脆弱性を網羅的に洗い出し、セキュリティリスクとして可視化する。
-
02
ネットワーク/
プラットフォーム診断サーバー・ネットワーク機器・端末、さらにその上で動作するOSやミドルウェアまでを対象に、脆弱性を網羅的に洗い出す。検出結果をセキュリティリスクとして可視化し、対策すべき箇所を明確化する。
プロジェクトフロー
01
ヒアリング
診断対象情報の確認(ドメイン名・機能名・アカウント情報)
02
要件定義
ヒアリング内容に基づき、診断対象や範囲の定義の上、見積もり金額の提示
03
脆弱性診断の実施
攻撃者の視点を熟知した専門資格を持つ診断士による脆弱性診断
04
レポーティング
発見した脆弱性の解説・再現方法・修正方法を網羅した詳細レポートの作成と担当診断士による報告会の実施
[CASE STUDY] 01
大手製造会社
脆弱性診断
実施期間
相談〜診断:1週間
診断:3週間
診断終了〜報告書提出:2週間依頼背景
セキュリティインシデントの発生を契機とした、海外子会社を含むグループ横断でのセキュリティ対策の刷新
対象数
9ドメイン
(Webアプリケーション、静的なWebページ)
診断結果
緊急性が高い脆弱性
02
・遠隔からの不正なサーバー操作
(リモートコード実行)重大な脆弱性
10
・データベース操作の危険性
個人情報の抜き取りや、書き換え・改ざん・削除の恐れ
・Webアプリでのコード実行の危険性
利用者のブラウザ上で悪意あるスクリプトが実行される恐れ
レポートの専門用語には注釈や解説を付記し、わかりやすさを徹底。「脆弱性の再現方法」「脆弱性に対する推奨策」を詳細に提示することで、新たな被害を未然に防ぐ、徹底した予防策を実現。
[CASE STUDY] 02
大手製造会社
脆弱性診断
実施期間
相談〜診断:1週間
診断:1週間
診断終了〜報告書提出:1週間依頼背景
セキュリティインシデントの発生を契機とした、主要公開Webサービスの先行診断。類似システムへの横展開を見据えた、段階的なセキュリティ対策強化の第一歩
対象数
1ドメイン
(静的なWebページ)
診断結果
緊急性が高い脆弱性
03
・遠隔からの不正なサーバー操作(リモートコード実行)
・侵害されたサーバーを起点とした、社内ネットワーク内の他サーバー・端末への横展開の可能性重大な脆弱性
04
・アクセス制御の不備
本来公開していないコンテンツが、アクセス制御できずに外部から閲覧できてしまう恐れ
レポーティングを日本語・英語の2言語で実施。グローバル対応により、海外グループ会社のセキュリティ強化を即時対応可能に。
ペネトレーションテスト
想定される攻撃シナリオに基づき、実際の攻撃者と同じ手法でシステムへの侵入を試行。防御の弱点を突き、事前に設定した到達目標まで辿り着けるかを実地で検証する実戦型のセキュリティ検証。
テスト方式
事前の情報開示度や前提知識によって、3つのレベルから実施可能。
-
01
ホワイトボックステスト
-
概要
テスト対象に関する情報(ソースコードやネットワーク構成のような情報含む)を提供いただく
-
特徴
システムが隅々までクリア化された状態で実施できるため、通常では検出困難な攻撃経路も発見しうる
-
-
02
グレーボックステスト
-
概要
本来はテスト期間中にテスターが収集する情報(システム構成や導入製品など)を提供いただく
-
特徴
テスト中に収集すべき情報が事前に手渡されるため、全体の実施期間を短縮しながらの実施が可能
-
-
03
ブラックボックステスト
-
概要
内部システムに関して、事前情報を一切提供いただかない
-
特徴
実際の攻撃者と同一条件でテストを実施ため、リアルな脅威評価が可能
-
プロジェクトフロー
01
ヒアリング
診断対象情報の確認(実施場所・範囲・テストの目標イメージ等)
02
要件定義
ヒアリング内容に基づいた攻撃シナリオの定義
見積もり金額の説明03
テスト対象の事前確認
オンサイト診断・特殊な環境下でのテストの場合は現地の状況を徹底的に確認し、攻撃シナリオを精査
04
ペネトレーションテストの実施
攻撃者の視点を熟知したペネトレーションテスターによるテスト実施
05
レポーティング
目標達成までの侵害ルート・悪用した脆弱性の一覧・その対策方法など詳細レポートの作成と報告
[CASE STUDY] 01
金融機関
ペネトレーションテスト
テスト概要
グレーボックステスト / 現地(オフライン)実施
実施期間
テスト:15営業日
テスト終了〜報告書提出:10営業日対象範囲
Active Directory環境
(クライアント端末及びサーバーが約300台)
診断結果
目標 1
Active Directory内での最上位権限Domain Admins権限の取得
達成率100%
・最上位権限のDomain Adminの認証情報を入手
目標 2
取得したデータの外部持ち出し
達成率100%
・閉域ネットワークと想定されていた環境から抜け出し、インターネット上の外部サーバーへの情報持ち出しの成功
・導入済みのセキュリティ製品を停止・回避し、USBデバイスへデータ保存
最上位権限への到達および完全なデータ持ち出しの可能性を実証。侵入経路と流出リスクを具体的に可視化することで、現状の防御網の限界を提示し、実効性の高い抜本的な対策強化へと導いた。
[CASE STUDY] 02
製薬会社
ペネトレーションテスト
テスト概要
グレーボックステスト / 従業員端末の貸出
実施期間
テスト:20営業日
テスト終了〜報告書提出:10営業日対象範囲
Active Directory環境
(クライアント端末及びサーバーが約250台)
診断結果
最上位権限のDomain Adminの認証情報を入手
達成率100%
・Domain Admin(5アカウント)の認証情報をそれぞれ別経路で入手
従業員端末を起点に、DomainControllerを含む中枢サーバーへの完全侵入を実証。5つの管理者アカウント奪取に至る攻撃経路を具体的に特定し、侵入拡大を防ぐための特権ID管理と監視体制の抜本的な見直しに貢献。