サービス概要
ペネトレーションテスト

標的型攻撃などを行う攻撃者と同様の戦術や手法を再現して、擬似的なサイバー攻撃を仕掛けることで侵入や機密情報奪取の可否や、検知・対応の適切性などを検証する実戦的なテストである「ペネトレーションテスト」を提供します。
「脅威ベースペネトレーションテスト」や「Red Team」といったサービス名称でも知られています。

ネットワーク脆弱性診断

ネットワーク脆弱性診断は、ネットワークシステムに含まれるサーバーやネットワーク機器などプラットフォームに対する脆弱性診断を提供します。

Webアプリケーション脆弱性

Webアプリケーション脆弱性診断は、SQLインジェクションやクロスサイトスクリプティングなどの発見を行うWebアプリケーションの脆弱性診断を提供します。

 

脆弱性診断とペネトレーションテスト

トライコーダではご要望に応じて「脆弱性診断」と「ペネトレーションテスト」を提供します。

脆弱性診断とは

プログラムのバグはテストを行うことで発見し修正を行いますが、脆弱性も同様です。脆弱性を発見するためのテスト手法を「脆弱性診断」といいます。
脆弱性診断では、「脆弱性」以外に「セキュリティ機能の不足」も発見することができます。
「セキュリティ機能の不足」は実装していればセキュリティレベルを強化することができる機能が不足していることを指します。これはバグではありませんが、セキュリティ機能があることによって防ぐことができる攻撃があります。たとえば、HTTPSによる暗号化通信を使用していない場合や、セキュリティ機能を持ったHTTPヘッダーフィールドを使用していない場合などが該当します。
セキュリティ機能を実装するか否かは、Webアプリケーションの発注者などと決定するセキュリティ要件次第となりますが、積極的に採用する方が望ましいものです。
脆弱性診断はセキュリティテストですので、Webサイトの脆弱性を網羅的に探していく方式です。Webサイトに内在する危険度の高い脆弱性はもちろん、危険度の低い脆弱性なども発見します。

ペネトレーションテストとは

脆弱性診断は「セキュリティテスト(Security Testing)」と訳しますが、他社の診断サービスでは「ペネトレーションテスト(Penetration Testing)」と呼んでいることもあります。
ここで言うペネトレーションテストは、脆弱性を何か1つでも発見し、それを利用してデータを奪取したり、管理者権限を奪取するなど、いかにシステムに深く侵入できるかを確認する、いわゆる「侵入テスト」のことを指します。
組織やシステム全体のセキュリティテストであり、「レッドチーム(Red Team)」や「脅威ベースペネトレーションテスト(Threat-Led Penetration Testing : TLPT)」とも呼ばれるものです。
ペネトレーションテストでは、場合によっては複数の脆弱性を利用することでそれらを成し遂げます。しかし、網羅的にWebサイトの脆弱性を探すわけではありませんので、未発見の脆弱性が残ることがあります。

 

お問い合わせ・お申し込み

ペネトレーションテストや脆弱性診断のご相談、お申し込みなどについてはこちらまで。