ペネトレーションテスト-Webアプリケーション侵入試験(株式会社アルファネット)
ハッカー目線で「情報漏洩」「改ざん」「サービス妨害」対策に効果を発揮!
  • ホワイトハッカーによる疑似攻撃でサイトの安全性を検証
  • 内包する脆弱性が浮き彫りに!実際のリスク・被害を確認できる!
  • 的確なアドバイスによって、効果的なセキュリティ対策ができる!

アルファネットは、2000年に診断サービスをスタートした時から、脆弱性を検出するだけではなく、その脆弱性の使い方によるリスクを考え評価を実施してきました。この長年培ったハッカー目線と高度なハッキングの技術で「情報漏洩」「改ざん」「サービス妨害」を目標にするサービスをスタート。今までの診断では、脆弱性を網羅的に検査する事を目的とし、IPAに準拠した基準で評価を実施していました。ペネトレーションテストでは、内包する脆弱性によりどこまでの情報が持ち出されるのか、改ざんや踏み台にされる事があるのかなど検証し実際のリスクを確認することができます。今やWebサイトは、大切なビジネスツール!一度リスク評価することをお勧めします。

製品・サービス詳細

ペネトレーションテストとセキュリティ診断の比較

ペネトレーションテスト

対象のシステムに対して、攻撃者が情報搾取や改ざん、妨害などの攻撃が達成できるか検証する事を目的としています。目的達成のため脆弱性の検査や実行可能な攻撃コードの検証を実施します。

セキュリティ診断

お客様のITシステムに潜むセキュリティ脆弱性の有無を網羅的に調査し洗い出すことを目的としています。一定のセキュリティ規格を基準に脆弱性の場所や危険内容、危険度合い、セキュリティ上の注意点を含め検査を実施します。

 
  ペネトレーションテスト セキュリティ診断
目的

攻撃者の目的(情報搾取や改ざん、妨害など)が達成できるか検証

目的達成のための脆弱性の検査や実行可能な攻撃コードの検証

脆弱性を網羅的に洗い出し検査
評価 実際のサイバー攻撃同様に、目的の攻撃が達成できるか検証 IPAなどのセキュリティ規格を基準に検査・分析・評価
報告 シナリオと攻撃検証結果・システムリスク評価 個々の脆弱性に対する危険度評価とリスト化
網羅性 なし あり
スキル 脆弱性の活用 脆弱性の指摘

実施フロー

①打合せ準備

  • サイトの種類の確認と攻撃時期の調整
  • 攻撃対象30リクエストの選定
  • 攻撃実施レベルの確認
  • 奪取可能な情報・改ざん可能なページの有無・サービス妨害可否などの確認

② ハッキングのスタート(アルファネット)

  • 調査、対象ページから脆弱性や挙動の怪しいページを選び出す
  • ブリーフィングにて攻撃方法の決定し「情報漏洩」「改ざん」「サービス妨害」でシナリオを作成
  • 攻撃用脆弱性の検出
  • 攻撃スクリプト及びパラメータの作成とツールの調整と攻撃準備
  • 攻撃実施による目標の達成!

③ 考察及び分析(アルファネット)

  • 攻撃成功までのエビデンスと作業中に確認した脆弱性エビデンスの作成
  • 整理リスク評価の実施
  • 報告書作成

④ 報告

  • 報告書のご提出
  • ご希望の場合は、攻撃の再現(脆弱性等の状況によります)
  • 対策方法へのアドバイス

アルファネットのペネトレーションテストの特徴

Webサイトに特化した事で、高品質を維持したままリーズナブルな価格のペネトレーションテスト実現

アルフェネットのペネトレーションテストは、調査・攻撃・達成を1サイクルと考えテストを実施します。その為、サイトの規模に関係なく機能レベルなどから30リクエスト程度を選定し、リスク評価するため安価で分かりやすい料金形態を実現しました。

大きなビジネスインパクトに結び付く攻撃シナリオの作成

単に、攻撃を実施して成功させる視点ではなく、お客様にとってリスクの大きな攻撃は何かを考え想定し攻撃目標に設定します。IPAから出ている「情報漏洩」「改ざん」「サービス妨害」から、よりインパクトの大きい攻撃シナリオをブリーフィングにて決定し達成を目指します。

ビジネスインバクトの高い脆弱性(危険度:Critical)の例

NO. 利用する脆弱性 カテゴリ 攻撃シナリオ
1

SQLインジェクション

情報漏洩 データベース内に保存されている個人情報を奪取
2 改ざん データベース内の商品価格データを改ざん
3 妨害 データベース内の商品データを削除
4

OSコマンドインジェクション

情報漏洩 Webサーバ内のパスワードファイルを取得
5 改ざん Webサーバの公開ディレクトリにあるコンテンツを改ざん
6 妨害 Webサーバのサービス停止
7 ディレクトリトラバーサル 情報漏洩 Webサーバの非公開ファイルへアクセスし機密情報を取得
8

認可制御の不備、欠落

情報漏洩 他の利用者の個人情報を取得
9 改ざん 他の利用者の登録メールアドレスを変更
10 認証制御の不備、欠落 情報漏洩 ログイン認証回避
11 クロスサイトスクリプティング 改ざん スクリプトを埋め込み、利用者を強制的にフィッシングサイトへ誘導
12 Webアプリケーションロジックの問題 改ざん 価格を改ざんして商品を購入
13 妨害 一部のサービスを無効化

影響度(Impact)、悪用可能性(Exploitability)の2つの視点からリスク評価を実施

影響度と悪用可能性から総合的にリスク判断をします。

- 影響度: 機密性、完全性、可用性などの側面から経済的損失に結びつくレベル

- 悪用可能性: 攻撃に必要とされる情報、環境面による悪用のしやすさのレベル

企業情報

会社名株式会社アルファネット
本社所在地

〒112-0004
東京都文京区後楽1-5-3 後楽国際ビルディング

設立年月1997年7月1日
資本金4億円
従業員数544名
事業内容

ITインフラ基盤構築
・サーバ・ストレージ仮想化
・VDI環境構築

セキュリティ
セキュリティ診断
標的型メール訓練
セキュリティ教育

ネットワークソリューション
・LAN工事
・耐震/免震工事
・物理セキュリティ導入

人材アウトソーシング
・データセンター保守・運用・監視
・テクニカルサポート
・コールセンター業務支援