EGSSの脆弱性診断(アプリ診断)では以下のレベル3までの対応を実施しております。
レベル4〜をご希望の際にはペネトレーションテスト、脅威ベースペネトレーションテストをご提案させていただきます。
| 対応内容 |
|
|
|||
|---|---|---|---|---|---|
| 国内のイメージ |
脆弱性診断 ペネトレーションテスト |
||||
| 参考:米国基準 | Scan | ペネトレーションテスト(Pentest) | |||
Overview
脅威ベースペネトレーションテストのサービス概要
『ウェブセキュリティアセスメント』サービスにペネトレーションテストをプラス
脅威ベースペネトレーションテストは、実際の攻撃者の視点からシステムの脆弱性を検出し、評価するための高度なセキュリティ診断手法です。
ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果をもとに、業務フローや開発プロセスに潜む弱点を洗い出し、脅威を想定したうえで攻撃シナリオを作成、実際にシナリオに沿って攻撃を行います。これにより、サービスや開発プロセス全体においてより現実的なセキュリティ対策を検討することができます。
こんな方におすすめ
立上予定の新規事業への脅威がどういったものがあるのか分析したい
既存事業に対する脅威がどういったものがあるのか分析したい
ウェブサービスの脆弱性だけではなく組織上の脆弱性についても改善したい
脅威ベースペネトレーションテストサービスの流れ
1:状況把握
脆弱性診断等によるシステムの現状把握の他、設計書や業務マニュアル等も精査。検査対象全体の現状を把握します。
2:ヒアリング
現状把握結果を踏まえ、実担当者へのヒアリングを行います。実担当者へのヒアリングを行うことにより、より現実に即した現状を明らかにします。
3:アセスメント
①②をベースに、システム上の弱点だけでなく、組織上、業務上の弱点を洗い出し、弱点に対する攻撃者と脅威を洗い出します。
4:攻撃シナリオの作成
③の結果から、攻撃シナリオを作成します。
5:ペネトレーションテストの実施
④のシナリオに従い、実際に攻撃を行います。
6:評価
⑤の結果を踏まえ、現実的なリスクの評価と改善策を検討します。
7:改善策の提案
⑥を踏まえ、改善策をご提案します。
8:コンサルティングの実施
ご要望に応じて、改善策の実施におけるコンサルティングや支援も行います。
Other Services
Other Services
その他サービス
