ネットワークペネトレーションテスト

  • Home
  • Service
  • ネットワークペネトレーションテスト
images
images

Our Services

Request Report Sample

[contact-form-7 id="513" title="Quote Form"]
single_service_image

ネットワークペネトレーションテストについて

ネットワーク セキュリティとそれに関連するネットワーク セキュリティペネトレーションテストは日々、急速に進化し続けています。エルフコアのネットワークペネテストへのアプローチは、標準的な脆弱性分析を超えています。
長年のセキュリティ経験を持つ私たちのチームは、ネットワークの些細な脆弱性をも特定し、フォーカスします。ネットワークセキュリティについて問題を抱えているのであれば、我々のペネトレーションチームにお任せください。

ネットワークペネトレーションテスト方法論

Elves Core は、構造化された方法論に基づいてテストを行います。

 

01. ネットワークの範囲

クライアント組織との効果的なコミュニケーションを重視し、双方にとって快適な運用環境を構築します。このフェーズでは、次のすべてを実行します。

  • 組織のどの資産がスキャンとテストに公開されているかを概説します
  • 特定の IP アドレスやサービスなど、評価からの除外について話し合う
  • 必要に応じて、公式のテスト期間とタイムゾーンを確認します

 

02. 情報収集

エルフコアのペンテスターは、無数の OSINT (オープンソース インテリジェンス) ツールとテクニックを使用して、ターゲットに関する可能な限り多くの情報を収集します。収集されたデータは組織の運営状況を理解するのに役立ち、取り組みの進行に応じてリスクを正確に評価できるようになります。対象となるインテリジェンスには次のものが含まれる場合があります。

  • 外部ネットワークの IP アドレスとホスティングプロバイダー
  • 既知の認証情報の漏洩
  • 組織が使用しているドメイン
  • Webサーバーの設定ミスとデータ漏洩
  • 組織で使用されている IoT システム

 

03. リストアップと脆弱性スキャン
この段階では、高度な情報収集方法の中でも、さまざまな自動ツールやスクリプトを利用します。また、時間をかけて、考えられるすべての攻撃ベクトルを綿密に調査します。次の段階では、この収集と計画が、悪用の試みの基礎となります。

  • サブドメインとディレクトリの列挙
  • ポートまたはサービスを開く
  • クラウド サービスに対する構成ミスの可能性を確認する
  • 公的および独自の脆弱性とネットワーク上のアプリケーションの関連付け

 

04. 攻撃と侵入

慎重に準備した後、発見されたネットワークの脆弱性の悪用に焦点を当てます。 Rhino のエンジニアは、ネットワークの完全性を維持しながら概念的な攻撃ベクトルの存在を証明する作業を開始します。エンゲージメントのこの時点で、次のタスクを開始します。

  • サンドボックスとテスト環境の侵害
  • 侵害された資格情報またはbrute force toolsを使用して特権情報にアクセスする
  • 攻撃ベクトルを組み合わせてネットワーク全体を旋回したり、ネットワーク内での立場を高めたりする

 

05. 報告

レポートは、経営陣やベンダーと共有するための永続的な文書を提供するため、評価を成功させるために非常に重要です。各レポートは、個々の組織に基づいて、特定の評価範囲とリスクに合わせてカスタマイズされます。レポートは直感的に読めますが、調査結果は徹底的に記載されています。さらに、各脆弱性には詳細な修復戦略が含まれています。当社のレポートに含まれる要素には次のようなものがあります。

  • 戦略的方向性に関するエグゼクティブサマリー
  • 技術的なリスクのウォークスルー
  • 脆弱性を修復するための複数のオプション
  • 各脆弱性の潜在的な影響

 

06. 修復テスト

さらに、クライアントの要求に応じて、クライアント組織が脆弱性にパッチを適用した後に Elves Core が評価をレビューする場合があります。変更が適切に実装され、リスクが排除されたことを確認します。以前の評価は、アプリケーションのより安全な状態を反映するために更新されます。

 

Webペネトレーションテストの診断ツール

Elves Core では様々な診断ツールを駆使してペネトレーションテストを行います。

主な診断ツール

service_image1
service_image2
診断項目
  • 認証セキュリティ診断
  • 破損したオブジェクトレベル認証診断
  • 破損した認証診断
  • 破損したオブジェクトプロパティレベル認証診断
  • 制限されていないリソース消費診断
  • 制限されていないリソース消費診断
  • 破損した関数レベルの認証診断
  • 機密ビジネスフローへの無制限アクセス診断
  • サーバー側のリクエスト偽造診断
  • セキュリティの誤構成確認
  • 適切でないインベントリ管理
  • 安全でないAPIの利用診断
  • 複雑でカスタマイズ可能な攻撃シナリオ診断
  • 脆弱性を狙う巧妙な攻撃
  • 高度な偵察
  • ゼロデイ脆弱性診断
  • 高度な回避技術/バイパス技術
  • 高度持続型攻撃のシミュレーション
  • シナリオベース診断
  • 総合的なレポーティング

ペネトレーションテスト(侵入テスト)とは

ペネトレーションテスト(略称:ペンテスト)とは、ホワイトハッカーと呼ばれる専門知識を持った技術者が実際に、様々な技術を駆使してネットワークに接続されているシステムに攻撃・侵入を行い、システムに脆弱性がないかどうかをテストする方法です。

ペネトレーションテストでは悪意のある攻撃者と同様にあらゆるハッキング方法やツールを用いて攻撃を行います。ペネトレーションテストの精度、結果はホワイトハッカーの技術、経験の差により大きく左右されます。

エルフコアのペネトレーションは実際に世界で活躍するホワイトハッカー集団(Nullit・ナルト)が行なってるため、世界基準の技術を持ってテストを行うことができます。

【ホワイトハッカー集団”Nullit”とは?】
■世界30ヶ国超から参加する1000名を超える多様なスキルを持ったホワイトハッカー集団
■Web、スマホアプリ、サーバ、ネットワーク、リバースエンジニアリングなどの様々な得意分野を所有
■日本在住のホワイトハッカーとして15年以上活躍するハッカーが、厳選したメンバーのチームを編成
■定期診断サービスをご利用の場合には、Nullit(ナルト)のロゴを貴社サービスに掲載可。掲載することで、Nullitが定期診断している事が分かり、サイバー攻撃を未然に防ぐのに役立ちます。