公開日:|最終更新日時:
脆弱性診断は、主にツールやスキャナーを利用してシステムの弱点を広範囲に調査し、問題点を抽出する手法です。これに対し、ペネトレーションテストは発見した脆弱性を「どこまで攻撃に利用できるか」をより深く検証します。言い換えれば、脆弱性診断は「脆弱性の存在を把握する」ことが主目的で、ペネトレーションテストは「実際に侵入・不正行為を試み、どのような被害規模や影響が考えられるかまで評価する」ことを重視しています。
脆弱性診断は短期間で広範囲の弱点を洗い出すのに向いていますが、発見した脆弱性が実際に悪用されるかどうかまでは踏み込まないケースが多いです。一方、ペネトレーションテストでは限られた範囲に集中して深堀りを行い、攻撃の再現性や最終的なリスク、さらには対策の妥当性まで確認します。そのため、手間や費用はかかるものの、より信頼性の高いセキュリティ強化が期待できるわけです。
チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、2024年の第1四半期で世界的に大きな影響を受けた業界は製造業と発表。国内でも製造業に対する攻撃の割合は50%以上を占めている。また大きな変化があったのはハードウェアベンダー業界で、IoTやスマートデバイスのハードウェアへの依存度が高まっているため、サイバー犯罪者のターゲットとなっている。また金融(銀行や保険など)業界においても銀行(前年比22%増)、保険(49%増)など、大きな影響を受けていると言えるでしょう。
製造業のITシステムは一般的なものと異なり、古い技術や複雑な構成が組み込まれているため、ペネトレーションテストを行う際には特有の専門知識と技術が必要です。サイバーディフェンス研究所では、重要インフラを扱う通信事業者や制御システムの開発経験を持つスタッフが在籍しており、製造業特有のネットワークを深く理解しています。このため、自動化ツールだけでは不可能な高品質なペネトレーションテストを提供することが可能です。
制御システムのテストでは、ハードウェアやネットワーク、独自プロトコルを分析し、計画段階から主要な脆弱性や重要なチェックポイントを特定します。さらに、運用に影響を与えない可用性重視のアプローチを採用しており、テストによる現場の停止を防ぎながらセキュリティの強化を図っています。
2023年4月から薬機法に医療機器のサイバーセキュリティ項目が追加され、IMDRFガイダンスに準じた対策が必要となった。「医療機器のサイバーセキュリティ導入に関する手引書」や「JIS T 81001-5-1:2023」に基づき、設計・開発段階でのセキュリティ試験や評価が求められるようになり、これに対応するため、外部診断サービスを利用するに至った。
ハードウェアに関する診断サービスを国内で提供しているはベンダーは多くないため、サイバーディフェンス研究所の診断には期待していた。
自社開発のハードウェア機器及びWebシステム双方の関係性を考慮した脆弱性診断を実施。技術力があり費用対効果が高いと感じた。開発の状況にあわせてスケジュールを融通してくれたこともありがたかった。
参照元:サイバーディフェンス研究所公式HP(https://www.cyberdefense.jp/case_studies/aillis.html)
サイバーディフェンス研究所のペネトレーションテストは、実際の脅威に近いシナリオを想定した詳細なテストが特長。内部ネットワークや外部ネットワーク、さらにはWi-Fiも対象にし、具体的な攻撃シナリオに基づいてセキュリティリスクを明らかにします。チームには国際的な競技会での受賞歴を持つ専門家が在籍し、安全かつ低負荷な手法でテストを実施しています。
制御システムのセキュリティでは、複数事業者の関係性や投資対効果などの理由から、すぐに適用できない対策も多くあります。サイバーディフェンス研究所では、個々の脆弱性への対応に加えて、攻撃シナリオを考慮した多層防御の観点から、将来の対策検討にも役立つ報告書を提供しています。
タリン技術大学で8年間Linux管理者を務める過程で、ネットワーク、Linux、複合セキュリティ環境等に関する高度な技術と知識を習得する。
2003年、欧州で開催されたセキュリティ研究機関Zone-hのハッキングミッションを最速でクリア。 サイバーディフェンスでは、多数の重要な日本企業のペネトレーションテストやDefConのCTFコンテストの決勝戦に進むなど、数々の貴重な経験を積んでいる。
経歴参照元:サイバーディフェンス研究所公式HP(https://www.cyberdefense.jp/members.html)
| 所在地 | 東京都千代田区神田駿河台2-5-1 御茶ノ水ファーストビル5F |
|---|---|
| 電話番号 | 03-5843-9017(代表) |
| URL | https://www.cyberdefense.jp/ |
セキュアワークスは、脅威ベースのペネトレーションテスト(TLPT)に実績のある数少ないベンダー。海外を含めて、多くの実績があり、この分野において知見のあるメンバーが在籍しています。
本社はアメリカ、各国に支社を構え世界基準の脅威ベースのペネトレーションテスト(TLPT)の実行が可能。
また、金融機関を対象としたTLPTのフレームワーク」を、英国中央銀行とともに開発したCRESTの認定を受けているため、プロセス、専門能力、経験や実績面でも信頼できる企業です。
三菱UFJ銀行では、これまで多くのサイバーセキュリティ対策を推進。より高度な攻撃に対応する能力を第三者の視点で評価したいと考え、再度TLPTを実施。以前TLPTを実施した時とは組織体制が変わっているため、現在のセキュリティ体制が正しく機能しているか、また脅威が侵入した場合に的確に検知しエスカレーションできるかを確認することが目的だった。
実施したTLPTは非常に満足のいく結果だと評価いただいた。インターネットバンキングを対象にする場合、関連するシステムや業務が限られるためシナリオを絞り込むことができるが、今回は数万台規模のエンドポイントとそれに繋がる業務システムを対象としたため、想定される脅威や攻撃手法が非常に多岐にわたっていた。その中で、テストシナリオに抜けや漏れがないよう注意し、幅広い内容でTLPTを行ったことで、標的型サイバー攻撃に関する顧客のニーズをほぼ網羅することができた。
参照元:セキュアワークス公式HP(https://www.secureworks.jp/resources/cs-mufg-bank)
セキュアワークスが提供しているRed Teamサービスは、セキュリティ対策における「人」「プロセス」「テクノロジー」の3つの重要な要素すべてを評価。従業員のセキュリティ意識、業務プロセスに潜むリスク、現状のセキュリティ対策の有効性を総合的に見直し、組織全体のサイバー防御力を評価しています。これにより、経営層、IT部門、セキュリティ部門、そして社員全体のセキュリティ意識を向上させ、効果的なセキュリティ対策の改善を支援します。
セキュアワークスの攻撃グループは、経験豊富なテストの専門家集団。顧客のセキュリティに対する思い込みにとらわれず、戦闘テストを行って防御能力を確認するとともに、攻撃に対する準備を強化できるようにサポートしています。また、担当者は常に脅威に対してアンテナを張りめぐらし、トレーニングの実施や仲間との情報交換、イベントへの参加などを通じて、スキルを磨き続けています。
公式HPにメンバーの紹介はありませんでした
| 所在地 | 東京都千代田区大手町1-2-1 Otemachi Oneタワー17F |
|---|---|
| 電話番号 | 03-4400-9373 |
| URL | https://www.secureworks.jp/ja-JP |
GMOサイバーセキュリティbyイエラエが提供している「IoTデバイスペネトレーションテスト」はIoTデバイスに特化したサービス。IoT機器に精通したメンバーが「ソフトウェア解析」や「ハードウェア解析」を通じてセキュリティを評価します。
またこのサービスは経済産業省が定めている「情報セキュリティサービス基準」の審査に適合しているため、評価の精度において信頼できる企業と言えます。
フォトシンスが開発したスマートロック「Akerun」。この製品の利便性はBluetoothの存在を抜きにしては語れないが、世間のBluetoothの評判はハッキングリスクなど必ずしも良いものではなかった。
「本当にBluetoothで大丈夫なのか?」という声が社内でもあがっていた。できる限りの安全・安心対策は施した上で、「セキュリティの確保ができている」というお墨付きを与えてくれる専門家を探していた。
レポートが充実している点に大きな評価をいただいた。BLEの盗聴用のデバイスを自前で用意、攻撃に使ったプログラムのPythonコードを添付など、先方が期待する以上の仕事だったとのこと。検証作業についても、自社で再現できる環境で行えるように構築したことも感謝の声をいただいている。
参照元:GMOサイバーセキュリティbyイエラエ公式HP(https://gmo-cybersecurity.com/case/akerun/)
ハードウェア解析では、デバイスを分解し、基盤に搭載されたマイコンのデバッグインタフェースなどをテストします。次にソフトウェア解析により、逆アセンブルを行い、ソフトウェアレベルでの問題を評価。最後に、動的解析で、通信路のパケットキャプチャやインタフェーステストを実施し、コミュニケーションに関連する問題を特定します。これらのアプローチを組み合わせることで、IoTデバイスの多様な側面を評価し、より安全で信頼性の高い製品を提供することが可能としています。
セキュリティトレーニング講師など世界レベルのホワイトハッカーが多数在籍し、対象システムの特性や予想される脅威に基づいて、攻撃シナリオ(攻撃の開始点とテストの目標)を設定し、模擬的なサイバー攻撃を行い、現在のセキュリティ対策の効果やリスクを評価します。
Webアプリ脆弱性診断の経験を経て、2020年からペネトレーションテスト業務に従事。クラウド利用環境を中心にさまざまな環境に対してペネトレーションテストを行い、お客様の環境の問題点の発見や改善活動に努めている。
経歴引用元:GMOサイバーセキュリティbyイエラエ公式HP(https://gmo-cybersecurity.com/company/employee/)
| 所在地 | 東京都渋谷区桜丘町26-1セルリアンタワー 7F |
|---|---|
| 電話番号 | 03-4400-9373 |
| URL | https://www.secureworks.jp/ja-JP |
制御システムに精通したメンバーによるペネトレーションテストを提供。入念な事前準備と様々な観点からみた攻撃シナリオで脆弱性を検出し、有効な対策を提案します。
攻撃スキルと悪用センスに長けたホワイトハッカーと、制御システムの開発・運用経験が豊富なエンジニアによる制御システムペネトレーションテストを提供。サイバー攻撃でシステムに潜む脅威を明らかにし、長期的な運用を見据えた対策を提案しています。
この制御システムペネトレーションテストは、システムの自動化における制御システムに対しての評価手法として、工場やインフラなどの産業制御システムに適しています。
制御システムのペネトレーションテストでは、ハードウェアからネットワーク、独自プロトコルまで様々な観点からのテストに対応。事前にパケット取得やドキュメント分析をおこない、短期間で効率的なテストを実施します。また、運用への影響を避けるため、常に作業記録を残しながらおこない、万が一のトラブルにもスピーディーに対応できるようにしています。
組み込み機器のセキュリティ検査には、組み込み機器・IoTセキュリティ診断で機器に応じた手法でのペネトレーションテストを実施しています。物理層からアプリケーション層まで全てを対象に、機器内部のセキュリティの問題点をあぶり出していきます。
また、ネットワーク向けのペネトレーションテストでは、ホスト単体へのテストや自動ツールによる簡易的なテストではなく、実際の攻撃に近い形で脆弱性と脅威を明確にします。
| 所在地 | 東京都千代田区神田駿河台2-5-1 御茶ノ水ファーストビル5F |
|---|---|
| 電話番号 | 03-5843-9017(代表) |
| URL | https://www.cyberdefense.jp/ |
経験豊富なセキュリティエンジニアによるペネトレーションテストを提供。脆弱性診断サービスと組み合わせておこなうことで、より詳細なリスク検証や被害の影響などが図れます。
経験豊富なセキュリティエンジニアが攻撃者目線で、技術やハッキングツールを使ってシステムへの不正侵入や情報窃取の可能性を調査します。機密情報などの情報資産の窃取を確認する際には、それに特化したテストで実施。脆弱性の検出だけでなく、発見された脆弱性を利用した攻撃をおこない、具体的にどの程度の被害や影響範囲があるのかを調査します。
また、SCSKセキュリティが提供している脆弱性診断サービスと合わせておこなうことで、よりペネトレーションテストの効果を高めます。脆弱性診断でWebアプリケーションやプラットフォーム、ネットワークの脆弱性をあぶりだし、必要な対策を具体的に提案します。
ペネトレーションテストでは、前提条件やゴールについて設定したシナリオを作成し実施。インターネット経由で外部公開サーバへ侵入、侵入できた場合の機密情報の窃取、特定の社内PCの乗っ取りによるファイルサーバやADへの不正アクセスなど、要望や課題、問題に合わせたシナリオで実行します。
設定したゴールに向けて攻撃可能な範囲でさまざまな疑似攻撃をおこない、テスト修了後はゴール達成の成否や成功した手法、脆弱性とその対策などを報告書で納品。テスト結果の報告会の実施にも対応しています。
| 所在地 | 東京都江東区豊洲3-2-20 豊洲フロント |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://scsksecurity.co.jp/ |
ハッキングの専門家と自動ツールを使用し、規模や目的に合わせて選べる2つのペネトレーションテストを提供。システム対策の脆弱性をみつけ、想定される攻撃パターンから課題と対策を提案します。
日立ソリューションズでは、ハッキング技術に詳しい専門家が脅威シナリオを作成して検証する「多層防御検証型ペネトレーションテスト」と、専用ツールでシステム内の脆弱性を自動検出し想定される攻撃を仕掛ける「自動実行型ペネトレーションテスト」の2種類を用意。規模や目的、要望に応じて実施しています。
多層防御検証型ペネトレーションテストでの攻撃シナリオは、脆弱性の有無を探し出し、ネットワーク上の多層防御の階層ごとに作成しています。
ハッキングの専門家による攻撃テクニックとツールで段階的に疑似攻撃を仕掛け、各階層のセキュリティ強度を測ります。外部からだけでなく内部からも侵入し、マルウェア感染を想定した被害の可能性などを確認。評価から課題を見える化し、やるべきセキュリティ対策を明確にします。
| 所在地 | 東京都品川区東品川4-12-7 |
|---|---|
| 電話番号 | 03-5780-2111(代表) |
| URL | https://www.hitachi-solutions.co.jp/ |
攻撃に特化した練習用設備も整備し、高品質なペネトレーションテストを提供しています。テスト結果の報告書はドキュメント形式で納品。担当エンジニアに質疑応答できる報告会にも対応しています。
キヤノンITソリューションズが提供しているペネトレーションテストでは、まずヒアリングで診断環境や希望するシナリオなどの詳細を把握し、クライアントが抱えるセキュリティ課題をあぶりだします。
攻撃の起点からゴールまでのシナリオを作成し、工数や費用、診断日程を提案。ペネトレーションテストに長けた専門技術者が、攻撃者の視点でシステムへの疑似攻撃を仕掛け、システムの脆弱性や耐性を検証します。
ペネトレーションテストを実行するペネトレーションテスターは、国際的なペネトレーションテスター認定資格を有するセキュリティエンジニアです。テストの実施だけでなく、セキュリティ情報発信メディア「サイバーセキュリティ情報局」での情報提供、マルウェア解析やスレットハンティングサービスなど、セキュリティの知見と実績に長けています。
診断完了後は、ペネトレーションテスト結果を報告書にまとめて納品。実際にテストを実施したエンジニアと、質疑応答しながら対応を決めていきたい場合は報告会を実施しています。
テストで検出した脆弱性については、再現手順・改善策・優先度とまとめて報告してくれるので、セキュリティの改善や強化をおこなうためのロードマップ策定も作りやすいです。また、広く使用されているペネトレーションテスト実行基準「PTES」や「NIST 800-115」に準拠しています。
| 所在地 | 東京都港区港南2-16-6 キヤノン S タワー |
|---|---|
| 電話番号 | 03-6701-3300 |
| URL | https://www.canon-its.co.jp/ |
企業の特性に合わせた、脅威ベースのペネトレーションテスト(TLPT)を実施。技術面だけでなくシステム態勢についても評価する、CREST認定サービスです。
PwCコンサルティングが提供している脅威ベースでのペネトレーションテスト「Threat-Led Penetration Testing(TLPT)」は、巷で実際に発生しているサイバー攻撃を未然に防ぐための実地訓練です。
インターネットに接続しているITシステムを使用し本番環境で実施。疑似攻撃から対処能力を高めます。
このサービスは、情報セキュリティの品質を維持することを目的にする非営利団体「CREST」の認定を受けています。
攻撃シナリオの作成では、実際に起きた攻撃事例や法規制なども考慮した、業界特有のリスクや攻撃トレンドなどから策定します。そして、疑似攻撃からシステム停止や情報流出などの被害が発生した際、被害によるレピュテーションリスクや補償費用、システムや業務全体への影響などを測定。同時に、被害を最小限にとどめ早急に復旧させるための強化改善事項を提供しています。
| 所在地 | 東京都千代田区大手町1-2-1 Otemachi One タワー |
|---|---|
| 電話番号 | 03-6257-0700(代表) |
| URL | https://www.pwc.com/jp/ja |
企業や商用システム向けから専門性の高い特殊分野まで、レベルに合わせたペネトレーションテストを提供。ホワイトハッカーによる安全性の高い侵入調査で、脆弱性だけに依存しない調査をおこないます。
ペネトレーションテストは、SBテクノロジーの子会社であるサイバートラスト社が実施しています。また、そのシナリオにはインターネット経由でおこなうリモート診断と、内部ネットワークから侵入するオンサイト診断を用意しています。
現状のシステム体制にて攻撃可能な手法による攻撃シナリオを作成し、実際に侵入できるかどうかを調査。実現される可能性が高い攻撃を仕掛けるので、脆弱性のチェックやセキュリティ耐性、設計上の問題点を測ることが可能です。
ペネトレーションテストでは、最初に内部ネットワークやシステム、ユーザーなどの情報を調査することから始めます。リモート診断に必要な、外部ネットワーク(攻撃者サイト)への接続、リモートからのアクセスなど基盤を構築。テスト対象となるネットワーク上に攻撃基盤を構築したら、各PCやサーバーへ侵入を試みます。
脆弱性を利用したシステムへの侵入、パスワード攻撃やゼロデイ攻撃による侵入などで、情報漏えいなどへの影響を調査します。また、管理者権限への昇格や他システムへの侵入・影響の有無など、権限昇格についても調べます。
| 所在地 | 東京都新宿区新宿6-27-30 新宿イーストサイドスクエア 17F |
|---|---|
| 電話番号 | 03-6892-3050(代表) |
| URL | https://www.softbanktech.co.jp/ |
脅威ベースのペネトレーションテスト「TLPT」でシステム対策の有効性を見える化し、サイバーレジリエンス強化についてアドバイス。3つのチームで現実性の高い攻撃と検証を実施します。
エヌ・ティ・ティ・データ先端技術が提供しているペネトレーションテストは、脅威ベースのペネトレーションテスト「TLPT(Threat Led Penetration Test)」です。従来の脆弱性診断やペネトレーションテストをより高度にしています。
TLPTでは、実際に起こりうる攻撃を疑似攻撃として実施することで、現状の対策でどこまで阻止できるのかを検証。被害を見える化し、システムの安全性を評価します。また、この結果を基にサイバーレジリエンス強化のためのアドバイスを提案しています。
TLPTでは、レッドチーム(エヌ・ティ・ティ・データ先端技術)・ブルーチーム(クライアント)・ホワイトチーム(統括役)の3つのチーム体制で実行されます。疑似攻撃は本番環境でおこなうことを前提としているため、攻撃シナリオについてブルーチームは一切関知することができず、ホワイトチームが攻撃の可否を判断します。
そして、レッドチームは詳細計画を基に攻撃を仕掛けたら、セキュリティチームで構成されているブルーチームが対応します。セキュリティインシデント対応から、ホワイトチームが評価。評価結果とコンサルタントの知見も合わせて、今後の対策に向けたアドバイスをおこないます。
| 所在地 | 東京都中央区月島1-15-7 パシフィックマークス月島 |
|---|---|
| 電話番号 | 03-5843-6800(代表) |
| URL | https://www.intellilink.co.jp/home.aspx |
ペネトレーション技術を有する診断員が、診断・検出・対策と対応。脆弱性への再診断の無償提供や、システム保護のためのセキュリティサービスを特別価格で提供しています。
シーイーシーのペネトレーションテストは、プラットフォーム脆弱性診断の中の一つとして、脆弱性診断で外部からの攻撃に対しての被害範囲はどれくらいになるのかを確認してからおこないます。申し込みから1ヵ月程度で診断結果を得ることができ、3ヶ月以内であれば無料で再診断もおこなっています。
また、診断ではリモートとオンサイトに対応。リモート診断では、診断員がシーイーシーの診断環境からインターネットを通じて、外部公開しているネットワーク機器やサーバーを調査。オンサイト診断では、診断員が検査機器をクライアントの内部ネットワークに持ち込みテストを実施しています。
ペネトレーションテストには「ライト」と「シナリオ」の2種類が用意されています。「ライト」は、脆弱性診断で検出された脆弱性から、攻撃・侵入テストをおこない、その影響があると思われる個所を確認します。「シナリオ」では、テスト対象となるサーバーへの侵入や管理者権限の奪取など、侵入から攻撃まで実行。その影響範囲を確認します。
「ライト」と「シナリオ」の両方において再診断と品質保証付き(無償)。ただ報告会はオプションとなり、対応可能なIPは「ライト」で3、「シナリオ」で1となっています。
| 所在地 | 東京都渋谷区恵比寿南1-5-5 JR恵比寿ビル |
|---|---|
| 電話番号 | 03-5789-2441(代表) |
| URL | https://www.cec-ltd.co.jp/ |
セコムグループのセキュリティエンジニアが、自動診断ツールと手動診断でサーバーやネットワーク機器に潜む問題点を検出。リモートとオンサイト診断で内外の不正アクセスの可能性がわかります。
ペネトレーションテストは、インターネット経由で診断するリモート診断と、クライアントサイトから診断するオンサイト診断とがあります。
ペネトレーションテストでは自動診断ツールと手動診断を組み合わせておこなっており、診断結果からサーバーやネットワーク機器の問題点を報告。インターネットに関連するさまざまな脅威への対策なども提案しています。
ペネトレーションテストは、インターネット経由で診断するリモート診断と、クライアントサイトから診断するオンサイト診断とがあります。
リモート診断はWEBやメール、DNSサーバーなどの公開セグメント(DMZ)を対象に外部からの不正アクセスのリスク確認をおこなっており、クラウドにも対応しています。オンサイト診断では、セキュリティエンジニアがクライアントサイトを訪問し診断。DBやファイルサーバなど内部セグメントへの不正アクセスのリスクを確認します。
診断結果では、検出された脆弱性や想定される被害の規模や範囲、脆弱性への対策方法と優先順位を詳細に報告しています。
| 所在地 | 東京都新宿区富久町10-5 NMF新宿EASTビル |
|---|---|
| 電話番号 | 0120-39-0756 |
| URL | https://www.secomtrust.net/index.html |
本番環境への影響を最小限に、ホワイトハッカーが仕掛ける疑似攻撃で、運用しているセキュリティ対策がサイバー攻撃にどれだけ耐えられるのか調査。問題点・対策について報告、評価します。
情報システムペネトレーションテストでは、ラックに在籍するホワイトハッカーが、クライアントが運用している外部公開サーバなどの様々な侵入経路に疑似攻撃を仕掛け、セキュリティ対策の有効性や攻撃耐性について調査し改善点を報告します。
侵入できた場合はどこまで侵入でき、どのような情報を持ち出せるのか、実際の被害範囲が詳細に判明。サイバー攻撃に対してのシステム全体の耐性を確認できるだけでなく、有効な対策を立てるのに役立ちます。
ペネトレーションテストでは組織を対象に、高度標的型攻撃などの代表的な侵入手段で多層防御の有無を検証します。特定の外部公開システムだけを対象に行う場合は、外部公開サーバや社内の重要サーバに侵入するためのプラットフォーム調査をおこない、脆弱性について確認しています。
また、ラックの情報システムペネトレーションテストは、通常のセキュリティ診断でおこなわれる侵入リスクとは異なり、実際におこなわれるであろう攻撃手法や被害を想定した脅威シナリオに基づいておこなわれています。
そのため、フロントエンドサーバが攻撃された場合の被害についてはもちろん、被害が拡大しないための抑止力についても調査。攻撃耐性や被害の影響と実際に攻撃を受けた場合に近い内容で確認できます。
| 所在地 | 東京都千代田区平河町2-16-1 平河町森タワー |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://www.lac.co.jp/ |
オンデマンドによるサービス管理で、テストスケジュールや業務要件の変更にも柔軟に対応。様々なアプリケーションに対して、高品質なペネトレーション・テストを提供しています。
シノプシスの「マネージド・ペネトレーション・テスト」では、ソースコードは使わず自動スキャンと手動テストで稼働中にWebアプリケーションやWebサービスの脆弱性を検出・排除します。
テストでは、自動化の停止や複雑な認証など、未知なる問題に対してのリスク解析に焦点を当てて実施。さらに、ビジネス・ロジック・データの妥当性検証やインテグリティ・チェックなど高度なビジネス・ロジック・テストで、通常のテストでは見つかりにくい特殊な攻撃も逃しません。
業務要件の変更や新しい攻撃手法などを考慮した評価で、テストスケジュールやレベルの設定にも柔軟に対応。様々なアプリケーションに対して高品質のペネトレーション・テストを実施しており、リソース制限で見落とされがちなアプリケーションもテスト可能です。
テストは、アプリケーションの解析ツールやセキュリティテストのエキスパートを備えたシノプシスのアセスメント・センターを通じて実行。テスト終了後、結果解析から詳細なレポートを作成し、実践的な対策指針などを報告します。また、要望があれば対策プランの提案などもおこなっています。
| 所在地 | 東京都世田谷区玉川2-21-1 二子玉川ライズ オフィス 15F |
|---|---|
| 電話番号 | 03-6746-3500(代) |
| URL | https://www.synopsys.com/ja-jp.html |
AIセキュリティ検査プラットフォームを使用し、スピード・品質・コストと高いパフォーマンスを発揮。ホワイトハッカーの「目」も加えたハイブリッド診断で、最短2週間での報告会を可能にしています。
扶桑電通は、WEBサーバのセキュリティテスト、サーバSSLのTLS設定テスト、モバイルアプリテスト実績が豊富なICT企業です。提供しているサービスは、独立行政法人等が保有する情報の公開に関する法律、「情報セキュリティサービス基準適合リスト」に登録されています。
「SasaL AI ペネトレーションテストサービス」では、機械学習・RPAを応用し短時間・低コストでの脆弱性診断を可能にしたAIセキュリティ検査プラットフォーム「ImmuniWeb AI Platform」を使用することで、従来よりも早く・安く・高品質なペネトレーションテストを実現しています。
「SasaL AIペネトレーションテストサービス」では、WEBアプリケーション(ホームページ、ECサイト、クラウドサービスなど)からプラットフォーム(ネットワーク機器やサーバ)、IoT機器(センサー、カメラなど)まで幅広く診断しており、リモートもしくはオンサイトと柔軟な対応で提供しています。
これまでの実績を基に、AIによる高速診断とホワイトハッカーによるハイブリッド診断を組み合わせて実施。診断工数の多くをAIが占めるものの、複雑なプロセスはホワイトハッカーが担当。AIを積極的に取り入れることでヒューマンエラーを予防し、最短2週間での調査・報告会の実施を可能にしています。
| 所在地 | 東京都中央区築地5-4-18 |
|---|---|
| 電話番号 | 03-3544-7211 |
| URL | https://www.fusodentsu.co.jp/ |
セキュリティ診断サービスで現システムの脆弱性を調査。ブラックボックス下でのペネトレーションテストでは、市販ツールだけでなくテスト対象に特化した独自ツールも使用しています。
官公庁や金融業界、インフラ業界で多数の導入実績がある「セキュリティ診断サービス」は、ツールと手動による2つの方法で疑似攻撃をおこない、情報システムや制御システムにおける脆弱性の有無を診断。脆弱性が確認された部分については、リスク回避のための対策を提案しています。
独自開発したツールによる脆弱性診断では、情報収集と調査パケットから脆弱性を検出。また、手動でセキュリティスペシャリストが実施するペネトレーションテストでは、実際にシステムに侵入するための疑似攻撃を仕掛けて脆弱性を検出しています。どちらの手法でも、脆弱性による影響力を考え対策を提案しています。
トインクスのペストレーションテストは、プラットフォームやWebアプリケーション(IT)、制御システム(OT)と幅広いシステムを対象にしています。目的に合わせた診断・実施をおこなうため、制御システムのペストレーションテストにはシステム診断とデバイス診断を用意しています。
システム診断では、クライアントの環境内もしくは対象システムを預かって実施。デバイス診断は対象デバイスを預かって実施します。事前に計画書を作成され、結果については報告書と報告会で、結果と予防対策のアドバイスが行われます。
| 所在地 | 宮城県仙台市青葉区中央2-9-10 |
|---|---|
| 電話番号 | 022-799-5555 |
| URL | https://www.toinx.co.jp/ |
日本国内のレッドチームが、標的を定めたペネトレーションテスト(TLPT)を実行。攻撃者目線での戦術・技術・手順で現状のセキュリティ体制へのリスクを詳細に調べます。
デロイトトーマツファイナンシャルアドバイザリーは、世界的なセキュリティコンサルティング会社である「デロイト」のファイナンシャルアドバイザリー(DTFA)が、日本におけるファイナンシャルアドバイザリーサービスを提供するために設立した合同会社です。
ソーシャルエンジニアリングや侵入テスト、各種セキュリティ、サイバーハッキングに長けた技術と知識を持ち、さまざまな業界で活動してきたメンバーが、日本国内において脅威ベースのペネトレーションテスト(TLPT)を提供しています。
日本国内のレッドチームは、グローバルレッドチームと連携し、外部からの様々な攻撃から継続して守れる体制をアドバイス。TLPTでは、標的を定めた潜在的な脅威データとシナリオで、実際の攻撃と同レベルの戦術・技術・手順で疑似攻撃します。
TLPTの計画策定の段階では、現実におこりうる可能性やリスクを導き出せる攻撃シナリオを作成し、経験豊富なレッドチームのオペレータが実行。現状のセキュリティ体制について詳細に評価します。
| 所在地 | 東京都千代田区丸の内3-2-3 丸の内二重橋ビルディング |
|---|---|
| 電話番号 | 03-6213-1180 |
| URL | https://www2.deloitte.com/jp/ja.html |
デロイトトーマツファイナンシャル
アドバイザリー合同会社について詳しく見る
サイバーセキュリティの有資格者を中心に実行するペネトレーションテストで、脅威へのリスク把握と対策を可能に。新しい攻撃手法にも詳しく、より強固な対策を提案します。
サイバーセキュリティとして、LANSCOPE プロフェッショナルサービスを提供。ペストレーションテストをはじめとする各種セキュリティ診断、脆弱性診断と豊富なメニューを用意しており、特にニーズの多いメニューはパッケージにしています。
LANSCOPE プロフェッショナルサービスは、官公庁や企業・組織のセキュリティ分野にて20年以上の実績があり、これまで蓄積してきたナレッジ・ノウハウでクライアントのニーズに応えています。また、サイバーセキュリティの国家資格「情報処理安全確保支援士」を有するエンジニアが中心になり、スピーディーな診断・報告で対応しています。
LANSCOPE プロフェッショナルサービスで提供されているセキュリティ診断(脆弱性診断)では、現状把握を重視し、実データ分析から課題に対して実践的な PDCA サイクルの運用を提案・支援しています。
脆弱性診断の一つであるAPTペストレーションテストでは、システム内端末がマルウエアに感染した場合における、現セキュリティ対策の働きについて調査。侵入をどこまで食い止め、どの程度の被害が発生するのかをはっきりとさせます。
| 所在地 | 大阪府大阪市淀川区西中島5-12-12 エムオーテックス新大阪ビル |
|---|---|
| 電話番号 | 06-6308-8989 |
| URL | https://www.motex.co.jp/ |
業界・業種を問わない豊富な支援実績がある、先端品質テクノロジー会社。脅威・シナリオベース・ペネトレーションテストでは、システム全体のセキュリティレベルを評価しています。
AGESは、テストによる予防から保全・監視、研修などの教育、技術者の人材派遣、緊急対応と幅広く対応。その他、ソフトウェアテストやコンサルティング、インテグレーション、各種プロダクトの導入・運用支援と提供している会社です。支援範囲は上流から実施まで、業界・業種も限定していません。
また、全国規模のテスト実施体制を持ちアウトソーシングにも対応。海外のグループ企業には多くのエンジニアが在籍し、ウォーターフォール開発からアジャイル開発と、課題に合わせた技術を提供しています。
ペストレーションテストをする場合、まず攻撃シナリオを検討しゴールを設定したら、テスト対象システムや周辺情報など、攻撃者に狙われそうな箇所の有無を調査。シナリオに基づいて脆弱性診断を実施し、Exploitコードを使用しシステムに侵入し、侵入できた場合は様々なリスクの可能性を試します。
また、ペネトレーションテストで実行される実施シナリオは、サイバーキルチェーンとマイターアタックを参考に、クライアントの希望などを考慮して作成されています。
| 所在地 | 東京都文京区後楽1-7-27 後楽鹿島ビル4F |
|---|---|
| 電話番号 | 03-5333-1246 |
| URL | https://agest.co.jp/ |
データ・物理・ネットワークとさまざまなセキュリティサービスを提供。ペネトレーションテストでは、Webアプリケーションを対象にリスクの高い箇所を集中してテストします。
アルファネットは、セキュリティやITインフラ構築、通信・ネットワーク設備の導入などITインフラをトータルサポートするサービスインテグレータです。セキュリティサービスでは、ペストレーションテストの他、ランサムウェア対策調査や標的型メール訓練など、さまざまなリスクへの調査サービスを提供しています。
また、ペンテスター養成やセキュリティ基礎研修、eラーニングなどの社内でセキュリティに長けた人材育成も支援しています。
脆弱性の検出とリスクへの評価を可能にする診断サービスから始まり、これまで培ってきた攻撃者目線とハッキング技術から、情報漏洩や改ざん、サービス妨害などへの対応も可能にするサービスを展開。今ではさまざまなセキュリティサービスを提供しています。
ペネトレーションテストでは、内部システムからどこまで情報を持ち出せるか、情報搾取や改ざん、妨害などのリスク検証を実施。調査・攻撃・達成を1サイクルと捉えてテスト。そのリスク評価では、影響度(Impact)、悪用可能性(Exploitability)の2つの視点から総合的に判断しています。
| 所在地 | 東京都文京区後楽1-5-3 後楽国際ビルディング |
|---|---|
| 電話番号 | 03-5800-4311(代表) |
| URL | https://www.anet.co.jp/ |
これまでのテスト実績と豊富なナレッジから、効率よく侵入リスクを可視化。実用性の高い攻撃コードや自社で作成した独自コードを使い、信頼を得ている精度の高い検証・アドバイスをおこなっています。
社内には多数のホワイトハッカーが在籍し、セキュリティ診断・監視・コンサルティングと、予防から対策、対応と幅広くサポート。サイバーセキュリティサービスでは20年以上の実績があり、先進的なセキュリティ技術と脆弱性の発見・対応には豊富な実績があります。
また、セキュリティ情報やイベント管理システム(SIEM)の自社開発では、さまざまなログデータの統合監視も実施。世界各国のマルウェアを専門に解析する研究チームによる、世界レベルでの防御策の提案も可能にしています。
セキュリティサービスでは、コンサルタント・監視エンジニア・診断エンジニアと細分化された専門エンジニアが対応。攻撃者目線でシステムの脆弱性を診断・分析・評価・対処方法のアドバイスとおこなっています。
提供しているサービスでは、ペネトレーションテストの他、Webアプリケーション、ネットワーク、スマホアプリ、IoT、TLPT、要塞化支援、AIシステム、ゲームと多岐に渡ります。
| 所在地 | 東京都中央区日本橋人形町1-14-8 JP水天宮前ビル6F |
|---|---|
| 電話番号 | 03-5649-1961(代表) |
| URL | https://www.mbsd.jp/ |
一般企業向けから専門領域まで幅広く対応可能。クラウドソーシングではSRTから選抜された数十名のホワイトハッカーが、様々なリスクを想定した脆弱性管理を提供します。
ペネトレーションテストでは、企業システムや商用システム向けの「プロフェッショナルぺネトレーションテスト」と、より高度な専門領域に特化した「Synack クラウドソーシング ペネトレーションテスト」を提供しています。
「プロフェッショナルペネトレーションテスト」では、内部ネットワークやシステム、ユーザーなどの情報から攻撃シナリオを作成。疑似攻撃でセキュリティ耐性やシステム設計の問題点などの有無を調査します。
疑似攻撃では、脆弱性を利用するだけでなくパスワード攻撃やゼロデイ攻撃などでも侵入を試みたり、付与された権限を越えて不当なアクセス権限を得る権限昇格攻撃などを実施します。
| 所在地 | 東京都港区六本木1-9-10 アークヒルズ仙石山森タワー35F |
|---|---|
| 電話番号 | 03-6234-3800 |
| URL | https://www.cybertrust.co.jp/ |
不正アクセスや侵害行為が起こる可能性について確認することを目的にしています。考えられる攻撃を実際に仕掛けることで、対策の有効性や被害の大きさについて確認・検証します。
ブロードバンドセキュリティが提供している脆弱性診断では、独自開発した複数のツールによる自動診断とセキュリティエンジニアによる手動診断を組み合わせて提供。WEBアプリケーションやネットワーク、スマホアプリ、IoTセキュリティ、クラウドセキュリティ、独自開発したソースコードへの診断や調査をおこなっています。
また、脆弱性診断サービスは幅広い業種に対応しており、「SQAT 脆弱性診断」すべてにサイバー保険を付帯しています。
事前調査でシステム内の弱い箇所を特定し、そこを中心にしたシナリオベースの疑似攻撃を仕掛けることでシステムの堅牢性を確認します。サービスダウンや妨害の可能性がある攻撃については、希望する場合のみ検討・実施しています。
また仕掛ける脅威については、セキュリティのプロが攻撃者の立場に立ち、攻撃ポイントへの攻撃経路・方法をまとめた攻撃シナリオを作成。実際のサイバー攻撃から企業が採用している対策の有効性を確認し、仮に攻撃を受けた場合の被害の大きさを確認・検証しますので、必要な防御方法がわかり、より強固なシステムや運用方法の構築が可能になります。
| 所在地 | 東京都新宿区西新宿8-5-1 野村不動産西新宿共同ビル4F |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://www.bbsec.co.jp/index.html |
セキュリティ専門技術者が自社のセキュリティ状況を確認するための侵入を試みるペネトレーションテストを実施し不正アクセスの確認やリスク診断を行っている会社です。
クライアント企業がビジネスシーンで利用しているシステムをしっかりチェックするために、アズジェントでは経験豊富で腕が確かな技術者によるテストを行っています。技術者の質が高いため、より安全性の高いシステム作りのお手伝いが可能です。
企業の機密事項や顧客情報など、大切な情報が外部に漏れてしまうことは企業にとって大きなリスクとなりますので、信頼できる技術者が在籍している企業でテストを行うことが重要です。
プロの技術者がお客様のシステムを検査し、社会的にも大問題に発展しかねない「不正アクセスのリスク」を徹底的に検証します。不正アクセスのリスクを検証したあとはしっかりと対策の提言も行っているので、今よりももっと強固なシステムへと貢献できます。
| 所在地 | 東京都中央区明石町6-4 ニチレイ明石町ビル |
|---|---|
| 電話番号 | 03-6853-7401 |
| URL | https://www.asgent.co.jp/ |
脆弱性診断によるセキュリティ状況をチェックし、標的型攻撃の模擬訓練や不正通信、サーバーやNASの安全性を確認するためのペネトレーションテストを実施している会社です。
一般的な「脆弱性診断」とは異なり、より高度な技術でシステムのリスクや脅威をテストします。実際にハッカーが使用する手法を再現し、事前にシナリオを作成したうえで模擬攻撃を行っています。
普段から「脆弱性診断」などをしているものの、「ハッカーに侵入されないか試してみたい」というご要望や、「不正な通信を検知できるか試してみたい」、「サーバーやNASの安全性が高いかを確認したい」というご要望にも応えています。
テストする技術者は、実際にウイルス感染をしたシステムの調査や、内部不正に関する調査を多く経験したプロの技術者なので、より高度なテストをすることが可能です。
また、プロの技術者により臨機応変に攻撃内容の変更、侵攻ルートの変更などもできるので、より実践に近い形でテストが行えます。実際に不正アクセスなどによる情報流出が起こってからでは遅いので、経験豊富な技術者によるテストで不正アクセスのリスクを事前に認識し、対策を取ることでリスクヘッジが可能です。
| 所在地 | 東京都品川区大崎2-9-3 大崎ウエストシティビル |
|---|---|
| 電話番号 | 03-5634-7651 |
| URL | https://www.dit.co.jp/ |
攻撃者の視点で実際の攻撃が来た場合の想定シナリオを作成したうえでペネトレーションテストを行うことで、お客様のシステムや組織の安全性を評価している会社です。
ユビーセキュアのペネトレーションテストでは、シナリオ構築、テスト実施・結果分析、報告といった3つのステップで実施しています。
シナリオ構築では、テストする対象システムの情報資産やデータフロー、機能といったシステム情報と日々起きている脅威情報から適切なシナリオを作成しているので、実際のハッカーの侵入プロセスに近い模擬攻撃によってテストが可能です。あらかじめ構築したシナリオを元にペネトレーションテストの詳細計画、リスク管理計画を作成し本番を迎えます。
実際に侵入ができた場合もできなかった場合も、結果をわかりやすい報告書にまとめて報告を行っています。
これまでの経験と知識・ノウハウを集結し、数百もの攻撃シナリオからクライアント企業の環境や状況、ご要望に合わせた適切なシナリオをご提案しています。
事前に調整する時間や手間、脅威の分析にかかる時間などを省くことで、より素早くかつ幅広くカバーをしたテストが実現できます。
日々世界中で頻発している不正アクセスの事件や新しい攻撃手法、セキュリティリスクや脅威情報といった新しい情報を常に収集し、反映しているので、現実的な状況でテストすることができるでしょう。
| 所在地 | 東京都中央区築地4-7-5 築地KYビル4F |
|---|---|
| 電話番号 | 03-6264-3811 |
| URL | https://www.ubsecure.jp/ |
お客様の考えうる攻撃箇所に実際にハッカーが使う戦術やツールを使用した状況で模擬ハッキングしシステムへの侵入を試みセキュリティ環境のテストを検証する企業です。
アイティーエムでは、毎年ラスベガスで開催される世界最大規模のハッカー会議のひとつである「DEFCON」、世界トップクラスのセキュリティ専門家による情報交換・交流の場である国際会議「CODE BLUE」といった世界規模のハッキングコンテストで優秀な成績を収めたセキュリティエンジニアが所属する企業と協業しています。
世界的に見てもスキルの高いエンジニアの力を借りることで、専門的でかつ品質の高いペネトレーションテストを提供しています。
ペネトレーションテストで必要なのは、ハッキングの技術だけでなく攻撃者がどのような心理で攻撃するかといったところまで読み解きながら再現することで、より実践に近いテストが可能となります。
アイティーエムのペネトレーションテストでは、テストに使用する専門的なツールやさまざまな攻撃手法を体系的に分類し、テストの内容に合わせて組み合わせることで、実際にハッカーが行う攻撃手法を使った実践的なテストを行っています。
| 所在地 | 東京都新宿区西新宿7-20-1住友不動産西新宿ビル |
|---|---|
| 電話番号 | 03-6908-8310 |
| URL | https://www.itmanage.co.jp/ |
ペネトレーションテスター資格の保有者が技術トレーニングを行う講師を立て、チーム単位で攻撃シナリオを作成し、実際にセキュリティ環境のテストなどを行う会社です。
エヌ・エフ・ラボラトリーズでは、ペネトレーションテストをする上で必要な高いスキルも要する「ペネトレーションテスター資格」を保有する技術者が在籍しているため、お客様の環境でセキュリティに関する問題点や課題を検証しています。技術力の高い診断員がテストするので、他の企業で行ったペネトレーションテストでは見つからなかったような脆弱性も発見できるでしょう。
ペネトレーションテストする上で大切なのが、「攻撃者の視点をもつ」ということです。高いスキルを持っていても、攻撃者の視点や心理状況を理解していなければ、お客様のシステムのセキュリティリスクを見つけられません。そのため、お客様の状況に合わせた「脅威シナリオ」を作成し、より精度の高い模擬攻撃が可能となっています。
| 所在地 | 東京都千代田区大手町2-3-1 大手町プレイスウエストタワー26F |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://nflaboratories.co.jp/ |
脆弱性診断で検出されたデータを元に脆弱性を組み合わせることで複合的な「手作業」による擬似攻撃を実施し、お客様のセキュリティ環境の耐性評価を行っている企業です。
本物のハッカーが行う攻撃と同等の攻撃を擬似的に行うテストを実施しているため、高度なセキュリティレベルのシステムであっても脆弱性の検出が可能となります。脆弱性スキャナによる検査に加えて、知識や経験が豊富な検査員による手作業による検査も行っています。熟練した検査員によるさまざまな手法を組み合わせることで、より精度の高いペネトレーションテストができます。
ペネトレーションテストを行う多くの企業では、主に海外で開発されたツールを利用していますが、海外で開発されたツールは英語圏の利用者を対象としたツールなので、日本での利用に適していない場合が多くあります。
そのため、ファイブドライブでは日本の利用者が頻繁に利用するパスワードのリストを使用したり、独自に開発した日本人ユーザー向けのツールを利用したりすることで、海外製ツールでは得られないような精度の高い疑似攻撃が可能となっています。
| 所在地 | 東京都千代田区神田鍛冶町3-4 oak神田鍛冶町3F |
|---|---|
| 電話番号 | 03-5577-5030 |
| URL | https://www.fivedrive.jp/ |
Webサーバー、アプリケーションサーバーに対してS2 Scanが生成したテスト用のHTTPリクエストをハッカー視点で送信することで、サーバー環境の耐性を図る企業です。
エスツーが提供しているペネトレーションテスト「S2スキャン」では、実際に攻撃に利用される可能性のある脆弱性に対するテストが可能となっており、「HTTPレスポンス分割」や「OSコマンド実行」、「XMLインジェクション」、「バッファー・オーバーフロー」、「不適切なセッション有効期限・許可・認証」など現在では7000以上の脆弱性テストを実施できるツールです。
エスツーが提供するペネトレーションテスト「S2スキャン」は、Webアプリケーションに対してブラックボックスとして検査をするため、お客様が利用しているOSや利用している言語の種類にかかわらず検査ができるメリットがあります。
システム開発などを行っている企業の場合、利用するスタッフによってOSが異なる場合があったり、言語が異なることがあったりします。このような場合でもひとつのツールで一括して検査ができることで、検査にかかる手間やコストを大幅に削減できるでしょう。
| 所在地 | 秋田県秋田市中通3-3-10 秋田スカイプラザ7F |
|---|---|
| 電話番号 | 018-827-3500 |
| URL | https://esu2.co.jp/index.php |
ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)を実施したうえで、業務フローや社内の開発プロセスに合わせた攻撃シナリオを策定してセキュリティ耐性を図り、セキュリティ体制を整える企業です。
EGセキュアソリューションズのペネトレーションテストでは、クライアント企業のシステムだけでなく、組織や人、業務プロセスに対してもテスト可能です。そのため、既存事業に対する脅威のテストや、新規事業への脅威のテストを行いたいというご要望にも答えられます。
クライアント企業の指定したシステムのみへのペネトレーションテストができるほか、ソーシャルエンジニアリングなども組み合わせることで、組織全体の脆弱性をテストすることも可能なため、人や組織の脆弱性を知り、対策をすることができます。
| 所在地 | 東京都港区虎ノ門1-2-8 虎ノ門琴平タワー 8F |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://www.eg-secure.co.jp/ |
ホワイトハッカーが攻撃者の視点でお客様のセキュリティ環境に対して、様々なシナリオで擬似攻撃を実行することでセキュリティ耐性を図り、対象システムの有効性の検査をする企業です。
サイバー攻撃するハッカーは、目標のために日々いろいろな手法で攻撃を仕掛けています。そのため、ハッカーが攻撃してくる可能性のあるさまざまな攻撃を想定し、対策をしなければなりません。
そこでセキュアエッジでは、お客様のシステムの状況やご要望などに合わせて、想定できる限り本物に近いシナリオを用意し、本物のハッカーのような疑似攻撃を行いながらテストしています。
現在のセキュリティ対策で十分なのか、社内の運用ルールは徹底されているか、利用しているシステムに悪用可能な脆弱性がないかといった確認を通して、お客様の大切な資産を守ります。
セキュアエッジでは、本物のハッカーと同じような思考・技術力をもつホワイトハッカーが在籍しているので、シナリオに則ってハッカーの目線で擬似的な攻撃を仕掛けます。さまざまな侵入経路から攻撃をしかけ、侵入に成功した場合はどのくらいの被害があるのかを確認します。
現状の対策でどのレベルの情報にアクセスできるか、どの程度改ざんができるか、パスワードを不正に入手できるかなどをチェックし、現状の課題を可視化します。
もし、侵入ができなかった場合でも、今後攻撃に利用されうる課題を提示しています。
| 所在地 | 東京都新宿区下宮比町2-26 KDX飯田橋ビル3F |
|---|---|
| 電話番号 | 03-5206-5371 |
| URL | https://www.secureedge-tech.jp/ |
脆弱性診断を行うことで社内環境の調査をします。そのうえで、ネットワーク/サーバー、Webアプリケーションのセキュリティ状況を調査し適切な環境を提供可能な企業です。
ペネトレーションテストの実施を検討する場合、クライアント企業によって動機は異なります。
Librusでは、お客様がどのような動機でペネトレーションテストの検討へと至ったか、システムの状況やビジネスの状況はどのようになっているのかについて詳しくヒアリングをしたうえで進めています。お客様の現在の状況やご要望に合わせて適切なシナリオ作成をしたうえで、テストします。
Librusのペネトレーションテストでは、ホワイトハッカーが侵入シナリオの作成をしたうえで、ホワイトハッカー侵入用のサーバーを使って侵入テストをしています。
テストをするホワイトハッカーは、豊富な知識と経験を持っており、本物のハッカーと同等の思考プロセスを持っているので、より本格的な疑似攻撃が可能となっています。
| 所在地 | 東京都港区新橋6-13-12 VORT新橋Ⅱ 4F |
|---|---|
| 電話番号 | 03-6772-8015 |
| URL | https://librus.co.jp/ |
攻撃者を想定して擬似的に攻撃するシナリオをつくり実証していきます。専門のセキュリティエンジニアがテスターとなりより効果的で精度の高いペネトレーションテストを行う企業です。
実際にハッカーがどのような攻撃をするかを意識しながら実際に目標を立て、目標が達成できるのかをテストします。攻撃者としてのスキルも高い専門のエンジニアが診断するので、悪用ができる脆弱性を見つけます。
FlattSecurityのペネトレーションテストは、攻撃者としてのスキルも高い診断員が、お客様のシステム上の脆弱性を利用します。場合によってはソーシャルエンジニアリングを用いて人や組織から生まれる脆弱性も検知します。
| 所在地 | 東京都文京区本郷3-43-16 コア本郷ビル2A |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://flatt.tech/ |
セキュリティエンジニアがこれまで積み上げてきたノウハウを駆使。擬似的な攻撃シナリオを想定してペネトレーションテストを行うことで精度の高い環境を提供できる企業です。
ベルウクリエイティブが提供するペネトレーションテストでは、ホスト単体のテストや既知の脆弱性があるかどうかといった単純なテストをするのではなく、診断対象となる「ネットワーク全体」に対して侵入ができるかどうかをテストしています。そのため、お客様自身では気づけないような脆弱性を見つけることができます。
ペネトレーションテストを実施する場合、システムへの負荷がどのぐらいかかってくるのかという点を気にする方も多いでしょう。
ルウクリエイティブが提供するペネトレーションテストでは、経験豊富なホワイトハッカーが、お客様のネットワークやシステムへの影響に対して注意を払いながら手動でテストを進めていくため、低負荷でかつ安全性の高いテストが実現できます。
また、システムへの影響が心配な場合は、システムの構成や運用状況などから総合的に判断し、影響が最小限になるよう進め方について相談しながらテストすることも可能です。| 所在地 | 東京都中央区日本橋堀留町2-1-8 神野ビル4F |
|---|---|
| 電話番号 | 03-6206-2066 |
| URL | https://belue-c.jp/ |
世界有数のホワイトハッカーがお客様の環境を直接調査し、標準的な脆弱性診断ではできない脆弱性を発見することでより効果的なセキュリティ環境を提案している企業です。
GMOサイバーセキュリティbyイエラエのペネトレーションテストでは、パスワードを平文で保存する問題など、通常の脆弱性診断では検出ができないような潜在的なリスクを可視化できます。
お客様の要望やシステムの状況を加味して構築したシナリオを元に攻撃する「シナリオ型」、ソースコードなどの開発情報も含めて事前に調査し、シナリオにとらわれずに特定のWebアプリケーションの問題点を徹底的に洗い出す「調査型」の2種類に対応しています。
| 所在地 | 東京都渋谷区桜丘町26-1 セルリアンタワー7F |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://gmo-cybersecurity.com/ |
GMOサイバーセキュリティ
byイエラエ株式会社について詳しく見る
一般的に行われている脆弱性診断では見つけることができない脆弱性を、脅威シナリオに基づきセキュリティリスクを見つけ出す企業です。
SHIFTのペネトレーションテストでは、脆弱性スキャナでは洗い出すことのできないセキュリティリスクを洗い出せます。
テストを実施する際にはあらかじめ「脅威シナリオ」を設定し、シナリオに則って疑似攻撃するので、本物のハッカーと同等の手法で侵入を試みます。SHIFTに在籍するホワイトハッカーは、実際のハッカーと同じ視点で攻撃するスキルを持っているため、より精度の高い疑似攻撃が可能となります。
アメリカ国立標準技術研究所が発行した「情報セキュリティテストのガイドライン」であるNIST-SP800-115を用いた正確な診断を行っているので、世界基準の高いセキュリティレベルのテストが可能となっています。
テストする前にネットワークの構成図や脅威シナリオを構築し、厳格な基準を用いて正確な診断したたうえで、実際にどのような流れで侵入ができたかといったシナリオと、改善すべき点についての提案しています。
| 所在地 | 東京都渋谷区代々木3-22-7 新宿文化クイントビル |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://www.shiftsecurity.jp/ |
脆弱性の検査、Webアプリケーションから情報を抜き出すことができないかの診断、実際の攻撃者と同様の手法で攻撃するテストで、セキュリティ環境診断サービスを提供しています。
EYストラテジー・アンド・コンサルティングのペネトレーションテストでは、実際の攻撃者と同様の攻撃手法を用いて、クライアント企業にシステムやネットワークへの侵入を試みます。実際に擬似攻撃することで「Red Team」が12種類にも渡る脆弱性診断や侵入テストを行うことで、正確かつ幅広い診断サービスを提供しています。
EYストラテジー・アンド・コンサルティングのRed Teamアセスメントでは、脆弱性の検出だけでなく、お客様の環境下でセキュリティ対策が十分に機能しているかといったセキュリティチェック、インシデントの検知や対処が十分に行われているかについてもしっかりと診断しています。
| 所在地 | 東京都千代田区有楽町1-1-2 東京ミッドタウン日比谷 日比谷三井タワー |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://www.ey.com/ja_jp/ |
EYストラテジー・アンド・コンサルティング株式会社
について詳しく見る
サイバー攻撃とペネトレーションテストサービスで機密データやシステムを保護することで、侵害、知的財産の損失、ビジネスの混乱、評判の低下を回避するための提案を行っている企業です。
世界の新しいセキュリティ情報を常に把握しているため、プロティビティならではの革新的な手法でお客様のシステムやネットワーク上のセキュリティ対策を正確に評価しています。ペネトレーションテストを通じて、単純に悪用される可能性のある脆弱性を特定するだけでなく、具体的な対応策を含めて包括的な評価をしたうえでお客様へ報告しています。
プロティビティが提供するペネトレーションテストでは、「ペネトレーションテスト実行基準(PTES)」やソフトウェアのセキュリティを向上させることを目的とする非営利団体である「Open Web Application Security Project(OWASP)」などの「業界標準を反映したテスト」をしています。
ただ脆弱性を発見するだけでなく、問題の根本的な原因の特定や追求、検証をしながら、クライアント企業とともに適切な対処法を探っていきます。
| 所在地 | 大阪府大阪市北区梅田2-2-2 ヒルトンプラザウエストオフィスタワー18F |
|---|---|
| 電話番号 | 06-6450-9367 |
| URL | https://www.protiviti.com/jp-jp |
機密データやシステムを保護、知的財産の損失、ビジネスにおける混乱が発生しないようにするためにセキュリティの脆弱性診断を行い、お客様の環境整備をする企業です。
アクトには、国際的に認められた情報セキュリティ・プロフェッショナル認定資格である「CISSP」や認定ホワイトハッカーの国際的な資格である「CEH」を取得したプロのエンジニアが所属しています。知識だけでなくスキルも非常に高いホワイトハッカーが、お客様のシステムやネットワークへの侵入テストを行い、脆弱性の有無などをチェックしています。
レベルの高い検査員が診断を行いますので、より精度の高いペネトレーションテストができるでしょう。
アクトに在籍するスキルの高いホワイトハッカーは、シナリオに基づいて疑似攻撃を行います。シナリオには、お客様のご要望からシステムの状況、ビジネスの状況などさまざまな要素を組み込んでいくことができるため、お客様のご要望を反映したテストが可能です。
また、テスト範囲の指定やシナリオのゴールについても相談ができるため、「この部分でもペネトレーションテストができるか?」といった疑問をお持ちの方は、一度相談をしてみるとよいでしょう。
| 所在地 | 東京都文京区小石川1-3-25 小石川大国ビル6F |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://act1.co.jp/ |
お客様から頂いたセキュリティ情報をベースにグレーボックス/ホワイトボックステストを行い、セキュリティ課題を診断することで多様なセキュリティ環境への課題を抽出できる企業です。
ガイオ・テクノロジーでは、自動車業界やFA、ロボット業界、建設機械、船舶などの業界を対象業界とし、対象部門は「組込みソフトウェア開発」のペネトレーションテストを提供しています。これらの業界において、改ざん検知や不正入力値耐性、DoS攻撃耐性といった確認をしながら、クライアント企業にネットワークやシステムに悪用可能な脆弱性がないかをテストします。
ガイオ・テクノロジーでは、クライアント企業より開示していただいた情報を元に、内部構造を把握したうえでテストする「グレーボックス」または「ホワイトボックス」でのテストを行います。ハードウェアを分析しながら重要なデータの漏洩やセキュリティ上の問題・課題があるかを評価しています。
| 所在地 | 東京都品川区東品川2-2-4 天王洲ファーストタワー25F |
|---|---|
| 電話番号 | 03-4455-4767 |
| URL | https://www.gaio.co.jp/ |
サイバーセキュリティ態勢の改善を図るため、ハッカーの心理を理解しながらテストアプローチすることでお客様のセキュリティ環境で発生する課題の抽出を行っている企業です。
セキュアワークスが提供するペネトレーションテストは、ペネトレーションテストの専門家が診断するセキュリティ専門家のためのソリューションです。セキュリティ投資から得られる「脅威情報」を統合することで、攻撃対象となっている領域全体を可視化させる脅威検知アーキテクチャである「Open XDR」も活用しながらより精度の高いテストを実施しています。
サイバーセキュリティに100%特化したセキュアワークスでは、お客様を第一に考え、常にお客様の立場に立って仕事をしています。
アメリカやイギリス、フランス、アラブ首長国連邦など、海外にも多数の拠点を持っており、各拠点のエンジニアがそれぞれ切磋琢磨をしながらセキュリティに関する知識やスキルを磨いています。
長年の実績から膨大な数の攻撃や防御に関する情報を収集しているので、より精度の高いペネトレーションテストサービスが提供可能となっています。
| 所在地 | 東京都千代田区大手町1-2-1 Otemachi Oneタワー17F |
|---|---|
| 電話番号 | 03-4400-9373 |
| URL | https://www.secureworks.jp/ja-JP |
被害を受けるシナリオをしっかりと検討しながら影響する環境を確認するテストを行い、脆弱性診断でシステムの脆弱性を確認、発見する企業です。
プロフェッショナル・ネットワーク・コンサルティングのペネトレーションテストでは、お客様の企業または組織がもつすべてのシステムまたはお客様が指定したシステム全体に対してテストするため、特定のIPアドレスや特定のWebアプリケーションなど、対象を限定せずにテストします。
明確な目的を持った攻撃者が、その目的を達成するためにどんな手を使ってくるかはわかりません。テストするホワイトハッカーが、本物のハッカーと同等な思考プロセスで擬似攻撃し、脆弱性の発見やセキュリティレベルの評価などを行います。
ペネトレーションテストを行う検査員が、本物のハッカーよりも知識・スキルが劣っていては満足なテストはできません。
プロフェッショナル・ネットワーク・コンサルティングに在籍するホワイトハッカーは、明確な意図を持った攻撃者であるハッカーと同じ目線を持っているので、事前に用意したシナリオに沿って、攻撃者と同じようなプロセスで侵入を試みることでシステムの脆弱性などを見つけることが可能となっています。
| 所在地 | 東京都千代田区神田須田町2-9宮川ビル |
|---|---|
| 電話番号 | 050-5527-2909 |
| URL | https://www.pnc.jp/ |
プロフェッショナル・ネットワーク・
コンサルティング株式会社について詳しく見る
セキュリティスペシャリストが攻撃者と同じ視点を持つことで精度の高いシナリオでテストを実施します。結果を分析・評価し、お客様の環境に適したセキュリティを提案できる企業です。
アクセリアでは、ネットワークを使用する「ITをシステム」だけでなく、特定の設備を制御・運用する「OTシステム」のセキュリティ対策にも対応した幅広い範囲でペネトレーションテストができます。
本当に必要なセキュリティ対策を見極めるため、アクセリアに所属するセキュリティスペシャリストが攻撃シナリオと侵入テストの結果から総合的に評価してくれます。セキュリティスペシャリストによる「本当に必要なセキュリティ施策」の導入支援までサポートします。
| 所在地 | 東京都千代田区麹町3-3-4 KDX麹町ビル3F |
|---|---|
| 電話番号 | 03-5211-7750 |
| URL | https://www.accelia.net/ |
ハッカーと同じ目線を持ったエンジニアたちがお客様に擬似攻撃を行いながら検証していきます。お客様のシステム環境の脆弱性を診断することで対策方法までをチェックできる企業です。
世界中で盛んにセキュリティの知識や技能を競うコンペティション(CTF)が開催されていますが、中でもトップレベルの大会では、セキュリティ上の欠陥を発見するという高度なスキルが要求されます。リチェルカセキュリティでは、そんな世界でも有数のCTFプレイヤーを登用し、優秀な成績を収めています。
しっかりと対策していても、プロの目線ではしっかりと課題を見つけることができるため、より強固なセキュリティ対策をしたい企業にはおすすめです。
ペネトレーションテストサービスを取り扱う企業の中には、コストや工数を削減するために自動化ツールを利用しているところもあります。
しかし、リチェルカセキュリティでは自動ツールに依存することなく、手動での診断も行いながら、自動化ツールの欠点を補い、セキュリティリスクを診断しています。
また、日々変化する攻撃者側の手法もしっかりと理解しているので、内製ツールも日々進化しています。高度なツール・経験豊富なプロによる確かな技術で、今まで見逃されていた脆弱性にもアプローチしています。
| 所在地 | 東京都文京区本郷6-17-9 本郷綱ビル6F |
|---|---|
| 電話番号 | 03-3868-3768 |
| URL | https://ricsec.co.jp/ |
ホワイトハッカーとしての技術・目線を持ったエンジニアが、お客様のネットワーク環境に侵入可能かどうか、擬似的な攻撃をしながら診断を行うことができる企業です。
Offensive Security社が行うペネトレーションテストの認定試験である「OSCP」を保有したホワイトハッカーが在籍しているため、より高品質なペネトレーションサービスを提供することができます。攻撃者の目線に立って発生する可能性のあるシナリオを作成し、お客様のシステムへさまざまな方法で侵入テストを行います。
シナリオを作成する際はお客様のご要望もしっかりとヒアリングしていますので、ソーシャルエンジニアリング、オープンソース・インテリジェンスを指すOSINT、特定の機密ファイルが奪取できるかといったシナリオまで、幅広く対応することができます。
また、ペネトレーションテストで実際に侵入ができた場合は、侵入に至るまでの過程や具体的な対策方法などを詳細なレポートでお伝えしています。もし侵入ができなかったという場合でも、今後発生する可能性のあるシナリオや具体的な対策方法までもお伝えしています。
| 所在地 | 東京都千代田区神田練塀町3 |
|---|---|
| 電話番号 | 公式サイトに記載なし |
| URL | https://ninjastars.ninja/ |
NECソリューションイノベータは、制御システムに特化したペネトレーションテストを提供しています。一般的なツールでは検出できないシステム固有の脆弱性を、専門的な技術を駆使して明確にします。
NECソリューションイノベータは、制御システムに特化したペネトレーションテストを提供しています。
一般的なツールでは検出できないシステム固有の脆弱性を、専門的な技術を駆使して明確にします。 各システムに最適化されたテストシナリオを策定し、模擬的なサイバー攻撃を通じてシステム内に潜む脅威を発見しやすくします。 こうすることで工場やインフラ施設の制御ネットワークにおいて発生するリスクを効率的に洗い出すことが可能です。
NECソリューションイノベータでは、テストの実施中から結果報告に至るまで、常にお客様と密なコミュニケーションを取ることを重視しています。
システムの特性に応じた柔軟な対応が可能であり、再テストや追加のレポート作成など、各種要望にも迅速に応じられます。加えて、レポートの英語化や再現手順のレクチャー、実施すべき対策の提案といったサポート体制が整っています。
| 所在地 | 東京都江東区新木場一丁目18番7号 |
|---|---|
| 電話番号 | (03)5534-2222(代表) |
| URL | https://www.nec-solutioninnovators.co.jp/ |
Webアプリケーションに強みを持つ企業、ネットワーク構成の脆弱性を得意とする企業など、専門領域によって実績が偏る場合があります。自社が必要とする分野で豊富な経験を持つ会社を選ぶことで、テストの精度と網羅性を高めやすくなります。
ただ脆弱性を報告するだけでなく、再発防止策や具体的な修正手順などの助言を丁寧に提示してくれる企業を選ぶことで、テスト結果を最大限に活用できます。また、テスト後のフォローアップや追加調整に対応可能かどうかも重要なポイントです。
ペネトレーションテストは高度な技術と時間を要するため、安価ではありません。予算の範囲内で実施できるか、さらに希望時期に合わせて柔軟にスケジュールを組めるかを比較検討すると、無理なく導入しやすくなります。
テスターが国際的に認知された資格(OSCPやCEHなど)を所有しているかどうかも、一定のスキルが担保されているかを見極める材料です。認証資格を保有しているテスターが多い会社は、知見の幅広さと経験値の高さが期待できます。
「製造業」向けにペネトレーションテストのサービスを提供している企業をまとめました。 なぜ製造業がサイバー攻撃の標的になっているかなど背景についても解説します。
製造業のペネトレーションテスト実施ベンダーについて詳しく見る
「金融機関」向けにペネトレーションテストのサービスを提供している企業をまとめました。 なぜ金融機関がサイバー攻撃の標的になっているかなど背景についても解説します。
金融機関のペネトレーションテスト実施ベンダーについて詳しく見る
「IoT」向けにペネトレーションテストのサービスを提供している企業をまとめました。 なぜIoTがサイバー攻撃の標的になっているかなど背景についても解説します。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。