ペネトレーションテスト

一般的な脆弱性診断とは棲み分けし、より高度な手法として企業が抱えるリスクや脅威を分析、実際に使用される手法を再現し模擬的な攻撃を仕掛けます。
検知できるか、迅速に対応できるか等を検証するテストです。

• 実際の標的型攻撃の模擬訓練を行いたい
• 普段から脆弱性診断（セキュリティテスト）を行っているが、侵入されないかどうか試したい
• 不正通信を検知できるか確認したい
• サーバやNASが安全かどうか確認したい

• 実際のウィルス感染や内部不正での調査で、多数の経験があるものが検査者
• 検査者が臨機応変に攻撃内容や侵攻ルートを決めていくことも可能
• 侵攻前に進めて良いかの判断をお客様に仰ぎながらの行き過ぎない検査
• 診断ツールはフューチャーセキュアウェイブで開発したもの、JPCERT/CCで紹介されているもの、Windows標準など実際の攻撃で使われており、説明のできるものを使用

標的型攻撃を想定し、内部に侵入された場合にどこまで準備ができているか、何が起きるのかを確認、検証し現状把握と対策を掲示します。

実施内容をお客様と相談の上、決定していきます。
公開情報から脅威や弱点を分析し（ソーシャルエンジニアリング）、個別にカスタマイズしたシナリオをご用意。より実践的な侵入テストが可能です。

お客様より直接指定のあったサーバやIP等に模擬攻撃を実施します。攻撃手法や期間等を設定の上、侵入を試みていくテストです。

1．諜報

インターネット上の情報収集

2．脆弱性診断

対象システムに含まれる脆弱性を特定

3．侵入

脆弱性を利用して対象をシステムへ侵入

4. 潜伏

PC内情報取得

5. 橋頭堡確保
　（足掛かり）

内部から外部への通信確認

6. 索敵

侵攻先選定

7. 浸透

他PCへ侵入

8. 占領

外部からリモート接続

9. 収奪

ファイル持ち出し

10. 撤収

痕跡削除

• 実施前に診断計画書を提出。（大まかな予定の記載）
• 診断完了後、2週間以内に調査報告書を作成
• 調査報告書は、実施内容、結果、結果詳細、対策、考察を記載

※ご報告内容はレベル感を調整いたします。