無料会員登録
ペネトレーションテスト(侵入テスト)は、システムに対して実際のサイバー攻撃に近い疑似攻撃を仕掛けることで、想定される被害範囲を検証するセキュリティテストの手法です。
国内でペネトレーションテストのサービスを提供している企業は数十社以上ありますが、どういった目的(シナリオ)でテストを実施するのか、どの程度の精度を求めるのかによって、必要とされる技術の種類や費用項目が変わります。
そこで、本記事では、ペネトレーションテストの企業選びのポイントと、おすすめサービスを解説します。
ペネトレーションテスト(侵入テスト)とは
ペネトレーションテストとは、システム上の脆弱性を特定することを目的として実際に疑似攻撃を仕掛けるセキュリティテストを指します。「侵入テスト」と呼ばれることもあります。
よく似た概念として「脆弱性診断」がありますが、ペネトレーションテストと脆弱性診断の違いはその目的にあります。
- ペネトレーションテスト:脆弱性を利用した疑似攻撃を仕掛け、想定される被害範囲を検証する
- 脆弱性診断:システム上の欠陥や不備の箇所を検査・特定する
ペネトレーションテストでは、悪意を持った攻撃者を想定し、ネットワークを通じてシステムに侵入(ハッキング)できるかを確認します。疑似攻撃を行うのはホワイトハッカーと呼ばれるサイバーセキュリティの専門家で、高度なハッキング技術を良い用途に利用します。
これは実際の攻撃と同じ方法でハッキングを試みるため、一般的には専門家が提供するサービスを使って行われることが多いです。
ペネトレーションテストの会社の選び方
ペネトレーションテストの依頼先を選ぶ基準として、在籍しているエンジニアの数、技術力、対応速度の速さなど多様な項目があります。
その中でも特に注視するべきポイントをまとめました。フォレンジック調査会社を選ぶときは以下の点を注視して選定しましょう。
詳しく確認していきましょう。
インシデント発生時の対応実績が豊富か
ペネトレーションテストを実施する会社のうち、実際のセキュリティインシデントが発生した際の調査対応実績が豊富な企業は多くありません。
セキュリティインシデントの対応実績が多数あるということは、ハッカーがよく使う攻撃手法や狙われやすい脆弱性などの知見が豊富ということです。単にツールをかけるだけだったり、マニュアルに沿った攻撃だけでは、リアルな被害を想定するという点では物足りません。
実際の攻撃者により近くリアルな攻撃を再現することができる企業に依頼するのがおすすめです。
情報セキュリティサービス基準適合サービスリストに掲載されているか
「情報セキュリティサービス基準適合サービスリスト」とは、IPA(独立行政法人情報処理推進機構)がまとめたもので、経済産業省が策定した「情報セキュリティサービス基準」をクリアしたサービスだけが掲載されています。
近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように策定された基準なので、フォレンジック調査会社を選ぶ際はこのリストの中から選ぶと安心です。
また、「Pマーク」や「ISMS」の認証を取得し、情報管理に万全の対策を行っている企業を選ぶようにしましょう。
参考経済産業省HP
豊富な対応実績があるか
業務情報や個人情報は多様な経路、手法で流失してしまいます。
サービスを始めて間もない、対応実績が少ない場合は、社内でフォレンジクスのスキルや知識、ノウハウが溜まっていない可能性があり、対応しきれない場合があります。
特に、大規模な調査になると対応可能な調査会社も限定するため、大企業、警察機関からの対応実績があることもポイントになります。
ですので、対応実績が豊富で多様なパターンに対応できる企業のサービスを選定するようにしましょう。
フォレンジック調査会社はまだ周知されていないサービスであるため、いざ困ったときにどの会社に相談していいかわからないものです。今回は、上記のポイントから厳選したおすすめランキング1位の会社を紹介します。今回おすすめする会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計2万3千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も250件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、ペネトレーションテストや脆弱性診断などのセキュリティ診断、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●セキュリティ診断: 脆弱性診断(セキュリティ診断)、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査)等 ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
ペネトレーションテストが実施可能なおすすめのサービスを紹介しました。
ペネトレーションテストは企業やサービスによって対応可能なシナリオが異なるだけでなく、各企業の実際のサイバー攻撃に対する知見の豊富さやリソースなど複数の要素から依頼先を選定する必要があります。
まずは見積もりを出してもらい、テストの目的や要望に対してどの程度対応してもらえるかを総合的に判断して依頼先を決めましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
