株式会社レイ・イージス・ジャパンのペネトレーションテストとは？価格や機能・使い方を解説

ペネトレーションテストとは侵入テストとも呼ばれるセキュリティ診断で、
経験豊富な「レイ・イージス」の診断エンジニアが、高度なAIツールと自身の知見をもとに、システムへの侵入を試みます。
シナリオに沿って攻撃者の視点で検証を行い、どこからどんな方法で侵入されるのか？
攻撃者はどのように考えているのか？といった内容への洞察の把握を目的とします。

悪意ある攻撃者からの侵入箇所や方法を特定し、
システム全体に対するセキュリティ対策の優先度の把握や策定を支援いたします。

■プラットフォーム診断(基本的な診断：全機器対象)
≪OSやミドルウェア、ネットワーク設定に存在する脆弱性を発見≫
・待ち受けているボードの確認
・OSやミドルウェアのバージョンを判定し、脆弱性が存在するか確認
・デフォルト設定のまま残存しているページなど、設定の不備を調査

■脆弱性診断　(基本的な診断：Webシステム)
<プラットフォーム診断に加えて、Webアプリケーションの脆弱性を調査>
・OWASP Testing Guide (OSTG 4.2) を基準とした、Webアプリケーションの脆弱性を網羅的に調査
・AIツールを使うことで、短時間で網羅的に診断
・さらに経験豊富なエンジニアによる手動診断により、深いレベルの診断を実現

■ファストペネトレーションテスト(基礎的なペンテスト：VPN機器など外部公開システム向)
≪プラットフォーム診断の結果と組み合わせて、基本的な対策が取れているか確認≫
・発見された脆弱性が実際に悪用できるか確認
・よく利用されるログインID、パスワード等でのログイン試行
・アカウント情報などを列挙できるか確認し可能な場合は収集、提示

■ペネトレーションテスト(網羅的なペンテスト：重要機能や情報を取り扱うシステム)
≪存在する脆弱性による攻撃の実現性や影響範囲の把握・対策への洞察≫
・システム情報を取得する手順、手法の検討や確認
・一般ユーザーなどの基本的なアカウントから権限昇格の試行
・より広範なアカウント情報をもとにしたブルートフォース攻撃(期間による)
・ダークウェーブやインターネット上に存在する侵入に利用可能な関連情報の検索、収集

☆具体的な攻撃目標例
・個人情報などの漏洩　・サービス拒否(停止)
⇒ペネトレーションテストでは最新知識を持つホワイトハッカーが利用可能な脆弱点を探し出し、実際に攻撃が可能か様々な観点から検証

●標準ペネトレーションサービス
独自AIツールなどを利用し、セキュリティリスクを効率よく、かつできる限りもれなく洗い出すため、
対象システムの認証場などをご提供いただいた上でペネトレーションテストを行います。

●小規模レッドチームサービス
アカウント情報などの提供なしに侵入を試みる、またはビジネスロック上の特定のゴール
(特定ファイルの窃取、特定アカウント情報・権限の取得等)に対して限定的なレッドチーム型ペネトレーションテストを行います。

【ペネトレーションテスト実施パターン】
●外部からの侵入可能性を容易確認
ご提供サービス：ファストペネトレーションテスト
攻撃者に狙われやすいインターネットに面した機器を対象に、悪用できる脆弱性を露出していないか、
侵入が可能かのテストを行います。(お客様内部ネットワークへの侵入は行いません。)

●外部からの侵入可能性を詳細確認
ご提供サービス：ペネトレーションテストサービス

●インターネット上のシステムへの侵入テスト
ご提供サービス：ペネトレーションテストサービス

●外部からのブラックボックステスト
ご提供サービス：小規模レッドチームサービス

●設置端末から疑似オンサイトでのテストを実施
ご提供サービス：ペネトレーションテストサービス