• トップ
• セキュリティ
• サイバーセキュリティ
• ペネトレーションテスト（侵入テスト）

ペネトレーションテスト（侵入テスト）

目次

• こんな悩みをお持ちのお客様にお勧めのサービス
• ペネトレーションテストとは
• ペネトレーションテストとセキュリティ診断の比較
• アルファネットのペネトレーションテスト
• 実施フロー
• 報告書サンプル

こんな悩みをお持ちのお客様にお勧めのサービス

• 情報漏洩が日々話題になっているが、当社のシステムの安全性を確認したい。
• Webサイトの安全性は大丈夫だろうか？リスク評価してみたい。
• 定期的にセキュリティ診断を行い、問題が無い結果だが、別な視点から検査をしてみたい。
• 専門業者によるセキュリティ診断を受けたことが無い、現状を確認したい。

ペネトレーションテストとは

ペネトレーションテストとは、セキュリティの観点からシステムの安全性をチェックするサービスです。 英語の「ペネトレーション（penetration）」は「侵入」「貫通」意味し、日本では「侵入テスト」とも呼ばれています。 その言葉通り、インターネットを使用して対象のシステムに攻撃をし、実際に侵入できるかどうかテストを行います。

テストの際には、ホワイトハッカーが実際に使用される攻撃を駆使し、対象とするシステムへの侵入可否を調査します。 明確な意図を持った攻撃者に対し、自社のシステムがどれ程安全なのかを確認することができます。

ペネトレーションテストとセキュリティ診断の比較

• ペネトレーションテスト
  対象のシステムに対して、攻撃者が情報搾取や改ざん、妨害などの攻撃が達成できるか検証する事を目的としています。目的達成のため脆弱性の検査や実行可能な攻撃コードの検証を実施します。
  
  
• セキュリティ診断
  お客様のITシステムに潜むセキュリティ脆弱性の有無を網羅的に調査し洗い出すことを目的としています。一定のセキュリティ規格を基準に脆弱性の場所や危険内容、危険度合い、セキュリティ上の注意点を含め検査を実施します。 セキュリティ診断サービスはこちら
  

ペネトレーションテスト・セキュリティ診断比較表

アルファネットのペネトレーションテスト

1.高品質を維持したままリーズナブルな価格のペネトレーションテストを実現

期間内に目標達成するため、攻撃者の視点に立ちより合理的な攻撃活動を実施していきます。 結果的に作業の効率化が図られるため、品質を落とすことなく安価なサービスをご提供いたします。

Webアプリケーション侵入試験

リモートのWebアプリケーションに対してのリスク評価を行います。 サイトの規模に関係なく機能レベルなどから10～20リクエスト程度の対象を選定し、 侵入試験を実施します。

ネットワーク機器侵入試験

リモートのネットワーク機器に対してのリスク評価を行います。まずは脆弱性診断を実施してからシナリオを作成 1～4IP程度の対象に対して侵入試験を実施します。（4IPを超える対象をご希望の場合は、別途ご相談ください）

2.大きなビジネスインパクトに結び付く攻撃シナリオの作成

お客様にとってリスクの大きな攻撃は何かを考え想定し攻撃目標に設定します。 IPAから出ている「情報漏洩」「改ざん」「サービス妨害」から、よりインパクトの大きい 攻撃シナリオを弊社エンジニアが討議によって決定し達成を目指します。

Webアプリケーション侵入試験

NO.	利用する脆弱性	カテゴリ	攻撃シナリオ
1	SQLインジェクション	情報漏洩	データベース内に保存されている個人情報を奪取
2		改ざん	データベース内の商品価格データを改ざん
3		妨害	データベース内の商品データを削除
4	OSコマンドインジェクション	情報漏洩	Webサーバ内のパスワードファイルを取得
5		改ざん	Webサーバの公開ディレクトリにあるコンテンツを改ざん
6		妨害	Webサーバのサービス停止
7	ディレクトリトラバーサル	情報漏洩	Webサーバの非公開ファイルへアクセスし機密情報を取得
8	認可制御の不備、欠落	情報漏洩	他の利用者の個人情報を取得
9		改ざん	他の利用者の登録メールアドレスを変更
10	認証制御の不備、欠落	情報漏洩	ログイン認証回避
11	クロスサイトスクリプティング	改ざん	スクリプトを埋め込み、利用者を強制的にフィッシングサイトへ誘導
12	Webアプリケーションロジックの問題	改ざん	価格を改ざんして商品を購入
13		妨害	一部のサービスを無効化

ネットワーク機器侵入試験

NO.	利用する脆弱性	カテゴリ	攻撃シナリオ（
1	ソフトウェアの設定に関する脆弱性	情報漏洩	サーバ内に保存されているデータを取得
2		改ざん	サーバのデータへアクセスし内容を改ざん
3	ディレクトリトラバーサル	情報漏洩	サーバの非公開ファイルへアクセスし機密情報を取得
4	バッファオーバフロー	情報漏洩	サーバ内のデータを取得
5		改ざん	サーバのデータへアクセスし内容を改ざん
6		妨害	サーバのサービス停止
7	メモリリーク	妨害	サーバのサービス停止

3.影響度（Impact）、悪用可能性（Exploitability）の2つの視点からリスク評価を実施

影響度と悪用可能性から総合的にリスク判断をします。
- 影響度: 機密性、完全性、可用性などの側面から経済的損失に結びつくレベル
- 悪用可能性: 攻撃に必要とされる情報、環境面による悪用のしやすさのレベル

影響度（Impact） 調査結果が機密性、完全性、可用性などの側面から経済的損失に結び付くレベルを示します。

Critical	この問題は、攻撃者が完全な攻撃を仕掛けるなど、非常に高いセキュリティ上の脅威をもたらす可能性があります。
High	この問題は、重大なセキュリティ上の脅威をもたらしますが、攻撃の成立にはいくつかの条件が必要になります。
Med	この問題は、セキュリティ上の脅威はありますが、攻撃の成立まで複数の条件や制限が必要になります。
Low	この問題は、攻撃が成功しても情報が取得できない若しくは被害が軽微な脅威になります。

悪用可能性（Exploitability）攻撃に必要とされる情報、環境等から悪用の可能性をレベルで示します。

VeryEasy	攻撃者が常時実行可能であり、認証情報等の事前情報を必要としません。（能動的攻撃）
Easy	この問題の悪用には、事前にログインアカウントを入手し、アプリケーションの仕様を把握する必要があります。（能動的攻撃）
Normal	この問題の悪用には、正規の利用者を攻撃者の用意した罠サイトへ誘導する必要があります。（受動的攻撃）
Hard	隔離された施設への物理的侵入、クライアント証明書の入手等のアクセス制御の回避が必要になります。（能動的攻撃）

実施フロー

①打合せ準備

対象サーバおよび提供サービスの確認

• サイトの種類、提供サービス、ロケーション（オンプレミスかクラウドか、リモートの可否）の確認
• 攻撃実施レベル、奪取可能な情報、改ざん可能なページ、サービス妨害の可否の確認
攻撃計画およびリスクの調整
• 攻撃実施時期の調整
• 侵入試験に伴うリスクの説明

② ハッキングのスタート（アルファネット）

• 調査、対象ページから脆弱性や挙動の怪しいページを選出
• 弊社エンジニアが討議によって攻撃方法を決定し「情報漏洩」「改ざん」「サービス妨害」でシナリオを作成
• 攻撃用脆弱性の検出
• 攻撃スクリプト及びパラメータの作成とツールの調整と攻撃準備
• ホワイトハッカーによる疑似攻撃を実施、その影響を調査




③ 考察及び分析（アルファネット）

• 攻撃成功までのエビデンスと作業中に確認した脆弱性エビデンスの作成
• 影響を確認、リスク評価の実施
• 報告書作成

④報告

• 報告書のご提出
• 疑似攻撃の再現（脆弱性等の状況によります）
• 対策方法へのアドバイス



報告書サンプル



ペネトレーションテスト資料
サービスに関するお問い合わせ