SQAT® ペネトレーションテスト

多様なシナリオによる疑似攻撃でシステムを包括的に診断し、被害を最小化

経済産業省による最新の調査報告『昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性について』(2020年6月12日)は、近年のサイバー攻撃の特徴として、「標的型攻撃の高度化」「サプライチェーンの弱点の攻撃」「不正ログイン被害の継続的な発生」の3つが挙げられています。今日の企業・組織には、「関連し合うシステムの弱い部分を狙った継続的で高度な攻撃」への備えがこれまで以上に求められているといえます。

『昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性について』より

BBSecが提供するペネトレーションテストは、従来、PCI DSS等の厳格なセキュリティ規制を課される金融業界のお客様を中心に、オプションサービスとしてご提供していたサービスでの経験をもとに、システムの弱点を探し出し、攻撃が成立するかどうかという視点でのテストを行います。このサービスでは診断前の準備・調査から具体的かつ多様なシナリオを用いた疑似攻撃を行い、リスク評価・脅威評価や報告に加えて、診断保守として診断後のメニュー(一部有償)をご用意しています。

脆弱性診断との違い

  脆弱性診断   ペネトレーションテスト
対象 ネットワークやインフラ、Webアプリケーション   ネットワークやインフラ、Webアプリケーションに加えて、物理侵入テストを含むことも
目的 脆弱性を検知・検出   不正アクセス、侵害行為が成立するかどうかの確認
範囲 広く網羅的に診断   侵入する、侵害行為が成立するためのポイントを探すことが目的となるため、必ずしも範囲は広くない
期間 対象範囲及び仕様により決まるが、ペネトレーションテストよりは短期間   脆弱性診断よりも長い期間を要する場合もある

BBSecのペネトレーションテストの利点

本サービスの疑似攻撃では、一般的なペネトレーションテストでターゲットとするWebアプリケーションやネットワークインフラだけではなく、無線LANからの侵入や疑似マルウェアへの感染などの現実的かつ多様な攻撃起点・ゴールを設定したシナリオを用います。疑似攻撃終了後、対象システムの特性を踏まえたリスク評価のほか、BCPに対するリスク評価、トレンドに基づく脅威評価などを実施し、その結果をご報告します。これに加えて本サービスでは、問題部位が解消されたことを確認するための再診断を無償(診断後3か月以内)でご提供したうえで、継続的なサポートをご提供する各種診断保守メニュー(一部有償)をご用意している点に大きな特徴があります。

また、BBSecでは長年の脆弱性診断とオプションサービスでのペネトレーションテストの経験から、以下の3つの品質を核にしたサービスをご提供します。


関連情報

●ペネトレーションテストとは