Flatt Securityが「ペネトレーションテスト」の提供を開始。

■ペネトレーションテストの概要

ペネトレーションテストとはお客様の社内ネットワークやプロダクトなどに対して、攻撃者に攻撃されてシステムへの侵入・特権の奪取といった目標を達成されてしまうリスクの有無を検証するセキュリティテストのことです。

実際の攻撃者を想定して擬似的に攻撃することで、どこまで侵入できるのか、どのような攻撃が出来るのかを検証し、重要なサーバへの不正アクセスといった攻撃の目標を達成できるのかを明らかにすることができます。

■サービスの特徴 

事前のヒアリングでお客様のご要望や必要性に合わせて、専門のセキュリティエンジニアが

• ブラックボックステスト
• ホワイトボックステスト
• システムの外部を起点とするテスト
• システムの内部を起点とするテスト

など、さまざまな形態や手法で最適なテストプランをご提案いたします。

弊社のペネトレーションテストは社外取締役を務める上野宣もテストに携わり、精度の高いサービスを提供いたします。
 

上野宣
株式会社トライコーダ 代表取締役。
奈良先端科学技術大学院大学で情報セキュリティを専攻、2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。
OWASP Japan 代表、一般社団法人セキュリティ・キャンプ協議会 GM、ScanNetSecurity 編集長、情報処理安全確保支援士 カリキュラム検討委員会・集合講習講師、Hardening Project 実行委員、SECCON 実行委員、日本ハッカー協会理事、東京2020オリンピック・パラリンピック競技大会向け実践的演習「サイバーコロッセオ」推進委員などを務める。
(ISC)²が発表した第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)を受賞。
著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド - 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。

■費用

500万円～

※ペネトレーションテストは、対象とするシステムの規模や範囲、作業期間や掛ける労力によって費用が変わります。 一般的には、ペネトレーションテストの方が、より高度な技術が必要な分、脆弱性診断に比べて費用・期間ともに高コストになります。
実施期間については1週間〜数ヶ月と、設定されたゴールや予算などによって大きく変わります。

■ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断は混同、誤解されていることがあります。脆弱性診断とはシステムにおける脆弱性を網羅的に洗い出すことを目的としたセキュリティテストです。項目別の違いを以下の表にまとめました。
 

目的の違い

ペネトレーションテストでは脆弱性を利用して、攻撃者がシナリオに沿って目標を達成できるのかを検証することを目的とします。一方で、脆弱性診断では脆弱性の有無を網羅的に明らかにすることを主な目的とします。脆弱性を網羅的に洗い出すには脆弱性診断の方が有効と言えますが、実際の攻撃の被害や侵入経路を検証するにはペネトレーションテストが有効です。

方法の違い
ペネトレーションテストでは実際の攻撃者が用いる攻撃手法と同等の攻撃を利用して、攻撃者の目標が達成できるのかを検証します。一方で、脆弱性診断では特定のガイドラインや基準をベースラインとして、診断対象がそのベースラインを遵守できているかを確認することで網羅的に脆弱性を調査します。ペネトレーションテストではソーシャルエンジニアリングを用いることもあるため、人や組織のルールなどもテスト対象になり得る点も特徴の一つです。

報告書の違い
脆弱性診断では発見された脆弱性やセキュリティ機能不足の一覧を記載をすべて報告書に記載します。一方で、ペネトレーションテストでは擬似攻撃にに用いた侵入経路や攻撃シナリオ、脆弱性などを報告書に記載します。

■会社情報 

社名：株式会社Flatt Security
代表取締役社長：井手康貴
所在地：東京都文京区本郷2丁目27番17号 ICNビル2階B
設立：2017年5月23日
Webサイト： https://flatt.tech
ブログ：https://blog.flatt.tech
事業内容：サイバーセキュリティ関連サービス