EGセキュアソリューションズは2019年12月2日、インターネット上の脅威を想定しシナリオに沿って侵入可否などをテストし、リスク評価を行う「ペネトレーションテスト」の提供を開始した。脅威ベースのシナリオに沿った攻撃を試行することで、現実的なリスク評価を行う。価格は300万円からで、実施範囲による個別相談。
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、技術者が攻撃者と同様に様々な技術を駆使して侵入を試み、システムに脆弱性が存在するかどうかをテストする手法である。
EGセキュアソリューションズは、以前より、Webサイトを中心としたセキュリティ上のリスク評価手段として、ヒアリングやドキュメント精査とWebサイトの実査を組み合わせた「ウェブセキュリティアセスメント」サービスを提供している。
今回、ウェブセキュリティアセスメントにペネトレーションテストを追加したサービスの提供を開始した。プロダクト全体の現状のセキュリティ対策の有効性およびリスクを評価し、改善案を提示する。個別のシステムにとどまらず、Webサイトを中心としたプロダクト全体の業務フローに着目したリスク評価を目的としている。
具体的には、ヒアリングやドキュメント精査、サイト実査(脆弱性診断)などの結果を基に、業務フローや開発プロセスに潜む弱点を洗い出し、脅威分析を行ったうえで攻撃シナリオを作成する(図1)。その後、シナリオに沿って実際に攻撃を行う。これにより、プロダクトや開発プロセス全体でより現実的なリスク評価が可能になり、効果的な改善策を検討できるようになる。要望に応じて、改善策の実施の支援も可能だ。
図1:ペネトレーションテストの手順(出典:EGセキュアソリューションズ)拡大画像表示
ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)などの結果を踏まえ、評価効果の高い攻撃シナリオを選定してペネトレーションテストを行うため、比較的低コスト/短期間で利用することが可能だという。そのため、中小規模のプロダクトでも利用することができる。
EGセキュアソリューションズは、Webアプリケーション脆弱性診断をはじめ、セキュリティコンサルティング、エンジニア向けのセキュリティ研修など、インターネットセキュリティに関する経営課題の解決を支援するサービスを提供している。
