脆弱性診断/ペネトレーションテスト
脆弱性診断
| Webアプリケーション脆弱性診断 | Webブラウザを介してアクセスするアプリケーションや、スマートフォン向けアプリケーションなどからアクセスするサーバサイドAPIの脆弱性を診断します。 |
|---|---|
 |
|
| スマートフォンアプリ脆弱性診断 | JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づき診断します。 ライトプランとフルプランがあり、フルプランではリバースエンジニアリングによる中間コードの解析を試みます。 |
 |
|
| プラットフォーム脆弱性診断 | セキュリティエンジニアが攻撃者の視点でサーバーやネットワークで稼働しているネットワークサービスに対して疑似攻撃を行うことにより、設定不備や既知の脆弱性への対応漏れなどが無いか診断します。 |
| クラウド診断 | クラウドの利用形態に応じた診断メニューをご用意しております。 クラウド診断ライトではCISベンチマーク準拠のスキャンを実施します。 クラウド診断、クラウド診断サーバレス、クラウド診断コンテナではツールのみでは診断が難しい設計仕様や認可制御についての診断を実施します。 |
 |
|
| IoT機器脆弱性診断 | ファームウェアだけでなく、IoT機器本体に対する物理面(分解など)を含めて、IoT機器にセキュリティ上の問題点が無いかを手作業で診断します。 IoT機器ごとの問題点やセキュリティリスクを認識することで、インシデント発生時に迅速な対応を行う準備ができます。 |
- MQTTやWebSocketを使用したWebアプリケーションサーバにも対応しております。
- ソーシャルゲーム用のチート診断や解析防止のプロテクト耐性強度の診断も可能です。お問い合わせください。
ペネトレーションテスト
マルウェア感染シナリオ
お客さまのシステムに影響を与えない疑似的な遠隔操作マルウェアを作成し感染させ、外部の悪意ある第三者によるマルウエア感染の影響を評価します。
あらかじめお客さまと設定したゴール(機密情報へのアクセス・外部への漏えいなど)に対し、ホワイトハッカーがサイバー攻撃さながらにテストします。
テスト実施後は報告会を実施します。
また、必要に応じてセキュリティ対策の協議やセキュリティ機器のログを確認する対応(パープルチーム※)も、別途オプションとして選択可能です。
外部公開リソース侵入シナリオ
外部の悪意ある第三者によるサーバ乗っ取りや情報漏洩、不正決済の可能性を検証します。
テスト実施前の調査により検出された脆弱性を起点としてお客さまシステムへ侵入し、お客さまシステムの管理者権限を取得できるかテストします。
テスト実施後は報告会を実施します。
また、必要に応じてセキュリティ対策の協議やセキュリティ機器のログを確認する対応(パープルチーム※)も、別途オプションとして選択可能です。
-
※
パープルチーム
ペネトレーションテストの攻撃チーム(レッドチーム)とお客さまのCSIRTなど防御チーム(ブルーチーム)と連携してお客さま環境に必要な対処のコンサルティングを行います。
個別シナリオの作成も可能ですのでお問い合わせください。
パートナー
GMOサイバーセキュリティbyイエラエ株式会社は、Webアプリケーション、iOS・Androidアプリ、クラウド環境などのセキュリティ診断を行うセキュリティ企業です。
経産省主催のCTFチャレンジジャパンや、世界最大のハッキングイベントであるDEFCON CTFにて好成績を残したホワイトハッカーチームのメンバーが中心となり創業いたしました。
