セキュリティ診断/ペネトレーションテスト外部ペネトレーションテストとは
外部ペネトレーションテストは、組織の外部からネットワークやシステムに対する攻撃を模倣します。主な目的は、外部からの攻撃に対する弱点を特定し、修正することです。外部攻撃者がアクセスしようとする可能性のある入口や脆弱性をテストします。
このテストでは、攻撃者が外部からアクセスできる情報、ネットワーク構成、セキュリティポリシーに焦点を当てます。例えば、ファイアウォールの設定やセキュリティパッチの適用状況を評価し、組織が外部からの攻撃から守られていることを確認するのに役立ちます。
外部ペネトレーションテストでわかること
外部ペネトレーションテストは、組織が外部からの攻撃に対してどれだけ備えているかを評価し、外部からの脅威に対するセキュリティ強化策を見つけるための情報を提供します。
- 外部システムの脆弱性
- 不正アクセスや権限の乱用の可能性を評価
- 機密データへのアクセスの可能性を評価
- セキュリティポリシーと規制順守
- 社内の従業員が不正なリクエストに対してどれだけ慎重かを評価
- セキュリティインシデントが発生した場合の組織の対応能力
弊社は内部ペネトレーションテストまでワンストップで対応可能です。
詳しくは「内部ペネトレーションテスト」ページをご覧ください。
外部ペネトレーションテストプランの一覧
パッケージプラン
よくあるテストケースをベースとし、最低限の工数でテストを設計いたします。
実施を推奨するお客様像
- ペネトレーションテストがどのようなものかを、とりあえず体験してみたいお客様
メリット
- 少ない準備期間、コストでペネトレーションテストをご体験いただける
デメリット
- テストの細かな調整ができないため、期待するアウトプットが得られない恐れがある
カスタムプラン
お客様のご要望に応じ、テスト内容を一から設計いたします。
実施を推奨するお客様像
- 明確に実施したいテストがあるお客様
メリット
- テストの細かな設計が可能なため、お客様のご期待に沿ったアウトプットが得やすい
デメリット
- 要件定義や設計にかかる工数がかさむため、コストが高くなりやすい
カスタムプランの例
お客様ご要望
- 特定の業界規制やコンプライアンス要件を満たすために、ペネテーションテストが必要。
- これらの要件を満たすための証拠を取得するためにテストを実施したい。
ご提案カスタムプラン例
- コンプライアンス要件を満たすために必要なセキュリティコントロールを評価し、関連する脆弱性を特定。
- リスク評価に基づいて、修正が必要な領域を優先順位付け
- テストの結果に基づいて、コンプライアンス要件を満たすための具体的な提案を含む詳細なレポートを提供
外部ペネトレーションテストの特長
潜在的な脆弱性の特定
外部からアクセス可能なサービスやシステムにおける脆弱性を調査し、危険度の高い脆弱性やデフォルトの認証情報の使用を特定します。また、機密情報へのアクセス可能性を評価し、個人情報や機密データの漏えいリスクを確認します。
攻撃者が悪用する可能性のある外部エントリーポイントを検出
外部ペネトレーションテストでは、組織の外部からアクセス可能なエントリーポイントを調査し、攻撃者が悪用する可能性のある脆弱性を検出します。例えば、公開されているウェブアプリケーション、DNSサーバー、VPNゲートウェイなどが含まれます。
明瞭で具体的なレポートの提供
検出された脆弱性に対するリスクを明確に説明し、改修に必要な手順や方法を詳細に記載した診断結果報告書を提供します。重要な脆弱性が発見された場合、速やかに通知し、迅速な改修を支援します。
経験豊富なセキュリティ専門家によるテスト
外部ペネトレーションテストは、最新の攻撃トレンドや多岐にわたる攻撃手法に精通したセキュリティ専門家が実施します。診断者は豊富な実務経験を持ち、さまざまな開発言語、フレームワーク、ライブラリに関する知識を備えています。
柔軟で丁寧なプロジェクト進行
プロジェクトスケジュールは、開発の進行状況に合わせて調整し、必要に応じてオンサイトでの作業にも対応します。外部ペネトレーションテストが初めてのお客様にも安心して利用いただける、丁寧なプロジェクト進行を提供します。
専門的なアフターフォロー
弊社はサイバーセキュリティ分野で専門的なソリューションサービスを提供しており、問題解決の豊富な経験を持っています。必要に応じて脆弱性診断を実施し、社内運用ルールの整備など、お客様のセキュリティ要件に対応いたします。
弊社が提供する外部ペネトレーションテストの強み
他社では対応が避けられやすいオンサイトでの調査についても柔軟に対応しています。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 短期間かつ安価
-
コストを抑えたサービス提供
一般的なペネトレーションテストでは、要件定義の段階から数ヶ月もの時間をかける場合がほとんとであり、数百万円から数千万円の費用がかかるケースも珍しくありません。弊社では、パッケージプランをご用意することにより、要件定義やテスト設計などにかかる工数を削減。これにより、短期間かつ安価にペネトレーションテストをご提供可能です。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
お任せ
ください!
レオンなら!
- 自社完結のエンジニア
-
セキュリティベンダーで培った知見
弊社は外注等は一切使っておらず、自社スタッフのみで調査を実施します。
ペネトレーションテストの担当者だけでなく、インフラエンジニアやフォレンジック調査員など、様々なスタッフの知見を活用してシナリオを構築する事で、多様な状況を想定した、適切なテストをご提供します。 また、オンサイトでの調査も可能です。詳細な報告書
目的を達成し、そのエビデンスをお渡しして終了ではなく、何故そのエビデンスまで到達できたかを一つ一つ報告書に記載し、それぞれの改善案もお伝えします。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社の内部ペネトレーションテストはこんな方におすすめです
- どこから手を付けて良いか分からない
- 自社ネットワーク環境に不安がある
- セキュリティの専門知識が不足している
- 前回の診断から1年以上が経過している
- ペネトレーションテストを行ったことがない
- 定期的なペネトレーションテストを行いたい
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
外部ペネトレーションテスト項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
| 項目 | 説明 |
|---|---|
| ウェブアプリケーションセキュリティ | ウェブアプリケーションに対する脆弱性スキャンと脆弱性評価を実施し、SQLインジェクション、クロスサイトスクリプティング(XSS)などの攻撃ベクトルを検出します。 |
| ネットワークインフラセキュリティ | ファイアウォール、ルータ、スイッチなどのネットワークインフラのセキュリティを評価し、不正なアクセス、不適切な設定、未修正の脆弱性などを特定します。 |
| モバイルアプリケーションセキュリティ | モバイルアプリケーションのセキュリティ評価を実施し、アプリ内脆弱性、不正なデータ送信、認証の脆弱性などを検出します。 |
| フィッシング対策 | フィッシング攻撃の模倣や、社内ユーザーに対するフィッシング試験を行い、セキュリティ教育の効果と従業員の注意度を評価します。 |
| ソーシャルエンジニアリング対策 | ソーシャルエンジニアリング技術を使用して、従業員から情報を収集しようとする攻撃のテストを実施し、社内のセキュリティ意識を向上させます。 |
| 電子メールセキュリティ | フィッシング、スパム、添付ファイルの検査など、電子メールセキュリティに関するテストを実施し、不正なメールの検出と防御策を確認します。 |
| 外部アクセス管理 | VPN、リモートデスクトップなどの外部アクセスポイントのセキュリティ評価を行い、認証とアクセスコントロールの問題を特定します。 |
| クラウドセキュリティ | クラウドプラットフォームのセキュリティを評価し、設定ミス、アクセス許可の不備、データ漏えいのリスクなどを特定します。 |
| ウェブサーバーセキュリティ | ウェブサーバーのセキュリティ設定を評価し、不正アクセス、ディレクトリトラバーサル、不正なコンテンツ公開などの脆弱性を検出します。 |
| システムパッチとアップデート | オペレーティングシステムとアプリケーションのパッチとアップデートの適用状況を確認し、未修正の脆弱性を特定します。 |
実施フロー
ヒアリング
調査目的やゴール、調査対象など、テスト設計を行う上で必要となる情報をヒアリングいたします。
お申し込み
必要事項を記載し、注文書の送付をお願いいたします。
設計
いただいた要件に応じ、テスト設計を行います。
テスト設計の内容に問題がなければ、ご契約の上、テスト準備に取り掛かります。
テスト準備
テストで利用する端末やツールなどの準備を行います。
テストのシナリオによっては、お客様側で端末やアカウントなどをご準備いただく必要がある場合もございます。
テスト実施
テスト設計の内容に従い、実際に攻撃を実施します。
システムの状態に大きく影響を与える恐れのある攻撃を実施する場合には、ご担当者様に連絡の上、許可なく攻撃を実施することはありません。
結果のご報告
調査結果を取りまとめた報告書をご提供します。
必要に応じ、報告会や、アフターサポートなども実施いたします。