ペネトレーションテストは、セキュリティの観点からシステムの安全性を検証するサービスです。 英語の「ペネトレーション（penetration）」は「侵入」「貫通」を意味し、日本では「侵入テスト」とも呼ばれています。 この手法は、インターネットを介して対象のシステムに攻撃を仕掛け、実際に侵入できるかどうかをテストします。

ペネトレーションテストでは、ホワイトハッカーが実際に使用される攻撃手法を駆使し、対象となるシステムへの侵入の可否を調査します。 これにより、悪意を持った攻撃者がどのような手法でシステムに侵入しようとするかを模倣し、組織がその攻撃に対してどの程度耐性を持っているかを評価することができます。

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断は、両方ともシステムのセキュリティ上の弱点を明らかにする手法ですが、その方法と目的には大きな違いがあります。

ペネトレーションテスト

ペネトレーションテストは、対象のシステムに対して、攻撃者が情報搾取や改ざん、妨害などの攻撃が達成できるか検証する事を目的としています。目的達成のため脆弱性の検査や実行可能な攻撃コードの検証を実施します。

脆弱性診断

脆弱性診断は、ITシステムに潜むセキュリティ脆弱性の有無を網羅的に調査し洗い出すことを目的としています。一定のセキュリティ規格を基準に脆弱性の場所や危険内容、危険度合い、セキュリティ上の注意点を含め検査を実施します。

こんな課題を持っていたら

• 情報漏洩が日々話題になっているが、当社のシステムの安全性を確認したい。
• Webサイトの安全性は大丈夫だろうか？リスク評価してみたい。
• 定期的にセキュリティ診断を行い、問題が無い結果だが、別な視点から検査をしてみたい。
• 専門業者によるセキュリティ診断を受けたことが無い、現状を確認したい。

アルファネットのペネトレーションテストの特長

Webサイトに特化した事で、高品質を維持したままリーズナブルな価格のペネトレーションテストを実現

アルファネットのペネトレーションテストは、調査・攻撃・達成を1サイクルと考えテストを実施します。 サイトの規模に関係なく機能レベルなどからリスク評価をするため、安価で分かりやすい料金形態を実現しました。

影響度（Impact）、悪用可能性（Exploitability）の2つの視点からリスク評価を実施

影響度と悪用可能性から総合的にリスク判断をします。
– 影響度: 機密性、完全性、可用性などの側面から経済的損失に結びつくレベル
– 悪用可能性: 攻撃に必要とされる情報、環境面による悪用のしやすさのレベル

大きなビジネスインパクトに結び付く攻撃シナリオの作成

単に、攻撃を実施して成功させる視点ではなく、お客様にとってリスクの大きな攻撃は何かを考え想定し攻撃目標に設定します。IPAから出ている「情報漏洩」「改ざん」「サービス妨害」から、よりインパクトの大きい攻撃シナリオを、弊社エンジニアが討議によって決定し達成を目指します。

ペネトレーションテスト
https://www.anet.co.jp/security/cyber_security/penetration_test.html