ペネトレーションテスト

概要

ペネトレーションテストとは

ペネトレーションテスト(ペンテスト)とは、ネットワーク、PC・サーバーやシステムの脆弱性を検証するテスト手法の1つです。実際にネットワークに接続しシステムに攻撃を仕掛け侵入を試みることから、「侵入テスト」と呼ばれることもあります。組織が実際にサイバー攻撃を受けた場合、実施しているセキュリティ対策がどこまで耐えられるかなどを評価するため、想定される攻撃シナリオに沿って幅広くテストを行い、課題を洗い出します。実際に攻撃される場合と同じ手法で行う必要があるため、多くの場合、専門の技術者が提供しているサービスを利用して実施します。

ペネトレーションテストと脆弱性診断の違いについては、「ペネトレーションテストと脆弱性診断の違いから理解するペネトレーションテストの必要性」をご覧ください。

日立ソリューションズではお客さまのご要望に応じて、
二つのペネトレーションテストを提供しています。

  • ホワイトハッカーが脅威シナリオを作成して検証

    詳しく見る
  • ツールが自動で脆弱性を見つけ、想定される攻撃を実施

    詳しく見る

多層防御検証型ペネトレーションテスト

日立ソリューションズの多層防御検証型ペネトレーションテスト

従来のペネトレーションテストは、脆弱性を突いて、外部からシステムに侵入することができるかを試みるだけのものが中心でした。日立ソリューションズが提供する多層防御検証型の「ペネトレーションテスト」では、脆弱性の存在を見つけるだけではなく、ネットワークにおける多層防御の階層ごとに作成した脅威シナリオに沿って、ホワイトハッカーがツールや攻撃テクニックを駆使し、段階的な疑似攻撃を実施します。
ネットワーク上の各階層のセキュリティ強度を評価し、課題を抽出することで、企業のセキュリティ上の課題を見える化できます。
さらに強固なセキュリティによる多層防御システム、ネットワークを実現することが可能です。ペネトレーションテストによって、守るべき情報資産を確実に保護するために必要となるセキュリティ対策を明確にします。

ペネトレーションテストの概要

特長

  • お客さまとともに、段階的に侵入されたことを想定した脅威シナリオに沿って、侵入、不正アクセスを試みます。
  • 外部からの侵入だけでなく、内部からどこまで侵入できるかや、マルウェア感染を想定した内部から外部への通信が可能となるかなどを試み、セキュリティ対策の強度を評価します。
  • 本サービスの作業は、国内外のセキュリティコンテストで優秀な成績を収めるホワイトハッカーが担当し、効率的かつ効果的な作業を実現します。

当社ホワイトハッカーの主な大会での成績

    SANS主催 Core NetWars 日本大会 第1回 準優勝、第2回 優勝、第3回 優勝
  • SECCON CTF 2021 世界17位(国内4位)、2022 世界23位(国内4位)
  • DEF CON CTF Qualifier 2021 国内5位、2022 国内4位、2023 国内3位、2024 国内4位 など

Core NetWars 日本大会に出場したセキュリティの専門家チーム

Core NetWars 日本大会 優勝トロフィーとメダル

セキュリティの専門家チームを統括するチーフセキュリティアナリスト

サービス内容

お客さまにおける重要な情報(守りたいネットワーク、システム)を共有したうえで、脅威シナリオの作成からペネトレーション結果報告会まで、一連の作業をワンストップにてご支援します。

  1. テストの脅威想定

    (1)目的の設定
    (2)攻撃範囲や対象の設定
    (3)連絡体制
    (4)システム環境の準備
    (5)関係者への周知・調整

  2. テスト実施

    (1)疑似攻撃の実施
    (2)実施内容・結果記録
    (3)各種ログの取得

  3. 報告

    (1)報告書作成
    (2)結果ご報告

スケジュール例

ペネトレーションテストのスケジュール例

※作業は、当社営業日の日中時間帯(9:30から18:00)とします。
※シナリオ数によりテスト実施日数、報告書作成が変動するためあくまで想定のスケジュールとなります。

価格

個別見積もり

ペネトレーションテストの導入事例

ロジスティード株式会社(旧 株式会社日立物流)様

自動実行型ペネトレーションテスト

日立ソリューションズの自動実行型ペネトレーションテスト

自動実行型ペネトレーションテストでは、調査対象として指定したIPアドレスの範囲に対して、ネットワークやPC、サーバーなどの脆弱性を見つけ、その脆弱性が起因となる攻撃を網羅的に実施します。専用のツールが自動で攻撃手法を選び組み合わせて実行するので、短期間で実施できます。また脆弱性を見つけるだけではなく、攻撃者がその脆弱性からどのような情報を得られるか、目的達成までのキルチェーンを可視化することが可能です。攻撃に利用される恐れがある脆弱性や、その攻撃による影響範囲が明確になるほか、対策についてレポートで提供するので、セキュリティ強化に役立ちます。

ペネトレーションテストの概要

特長

  • MITREが公開している、サイバー攻撃に実際に用いられた攻撃手法などをまとめたナレッジベースATT&CK(アタック)にもとづいて攻撃を実施します。
  • 見つけた脆弱性に応じて想定される攻撃を自動で選定し、実施までできるので、短期間でのテストが可能です。
  • ハッキング技術の専門家が検証結果について、独自の見解や対策をレポートで提供します。

MITRE:The MITRE Corporation(米国の連邦政府が資金を提供する非営利組織で、CVEの運用を実施)
ATT&CK:Adversarial Tactics, Techniques, and Common Knowledge
CVE:Common Vulnerabilities and Exposures

サービス内容

  1. 計画

    (1)事前打ち合わせ実施
    (2)対象(IPアドレス)設定
    (3)お客さま環境準備

  2. テスト実施

    (1)攻撃用PC準備
    (2)テスト実行(ツールによる自動実行)

  3. 報告

    (1)報告書作成
    (2)結果ご報告

スケジュール例

下記は目安です。詳細はお問い合わせください。

自動実行型ペネトレーションテストのスケジュール例

※作業は、当社営業日の日中時間帯(9:30から18:00)とします。

価格

個別見積もり

ペネトレーションテストの導入事例

ロジスティード株式会社(旧 株式会社日立物流)様

セキュリティコンサルティング コンテンツ一覧

関連商品・キーワード