株式会社Ninjastarsの脆弱性診断/ペネトレーションテストとは？価格や機能・使い方を解説

診断対象の特性に応じた様々な診断で、発生しうる不正を徹底的に検出します。

一般的な脆弱性診断では発見できない脆弱性を、
手動診断と自動診断ツールを組み合わせたハイブリッド診断で検出します。
検出した脆弱性は、攻撃難易度やリスクレベルを算出し、対策とともにレポートにてご報告いたします。
また、セキュリティ対策を施した状態でも一部アプリケーション診断が可能です。

工数によって変動しますが、診断期間は約2週間、レポート作成は1週間、
計3週間～1カ月以内に納品が可能です。

対策後コンサル対策後のコンサルティングには、以下が含まれます。
・レポートに対する質問への回答や調査（提出後1か月間対応）
・修正確認（無期限）

【診断手法】
●ブラックボックス診断
・弊社のホワイトハッカー（診断員）が、実際のハッカーと同じように、
　ソースコードと呼ばれる内部構造の情報なしで行う診断
・ハッカー本来の攻撃における思考プロセスや、攻撃手法にもとづいて脆弱性を洗い出すため、
　より本番の環境に近い状況での診断が可能

●ホワイトボックス診断
・ソースコードを参照し、内部構造の情報にもとづいて分析を行う診断
・ブラックボックス診断では発見することが困難な脆弱性を、ソースコードレベルで発見可能

【診断項目】
●Web／モバイルアプリケーション診断項目
・「OWASP Mobile Top 10」、「OWASP TOP 10」、IPAの定める「安全なウェブサイトの作り方」の基準に準拠
・弊社の独自の観点／視点からも脆弱性診断を実施

●ゲームセキュリティ診断の診断項目
・サーバーサイド、クライアントサイドの脆弱性を検査

●スマートコントラクト診断項目
・スマートコントラクトの脆弱性、セキュリティ上の問題を分類／識別するための
　リファレンスリストである、SWC Registryの基準に準拠
・弊社の独自の観点／視点からも脆弱性診断を実施

●Webアプリケーション診断
・攻撃者と同様の思考プロセス・攻撃手法にもとづき、診断対象のWebアプリケーションに潜む脆弱性
　（SQLインジェクションやXSSなど）を網羅的に検査します。

●スマホアプリ診断
・スマートフォンアプリケーション(AndroidやiOSのアプリ)に対し、静的解析や動的解析を行うことで、
　スマートフォンアプリケーション特有の脆弱性を発見します。

●ゲームセキュリティ診断
・オンラインゲームに最適化された脆弱性診断です。ゲームの特性に応じてチーターの視点で脅威度の
　高い部分から順に検査します。一般的なゲームデバッグでは発見できないバグや脆弱性までご報告します。

●ソースコード診断（ホワイトボックス診断）
・通常のブラックボックス診断（ソースコードなし診断）ではどうしても検知できない潜在的な脆弱性まで
　網羅的に検査します。

●ネットワーク診断（プラットフォーム診断）
・社内外を問わずサーバーやネットワーク機器・OSに対する脆弱性診断です。

●スマートコントラクト診断
・ブロックチェーン上（オンチェーン）で実行されるスマートコントラクトに対する脆弱性診断です。
　一般的にはオフチェーンのアプリケーション本体に対する脆弱性診断と同時に実施します。

●IoT診断
・ファームウェアからIoTデバイス間の通信まで幅広く解析を行うことでIoTデバイス特有の脆弱性を検出します。

●ペネトレーションテスト（侵入テスト）
・スマートフォン／社用コンピュータ／サーバーなどの社内ネットワークに、
　攻撃者が侵入できるかどうかを事前に診断するサービス。
・侵入シナリオに応じて、通常の脆弱性診断では実施しないブルートフォース攻撃や
　ソーシャルエンジニアリングなど、攻撃手法を組み合わせて侵入を試す診断を実施します。