サービス
サービス内容
OSCP認定エンジニアの完全手動診断。対象範囲、診断の流れ、費用、納品物まで詳しくご案内します。
サービス
ペネトレーションテストとは
ペネトレーションテストは、実際の攻撃者と同じ手法を用いてシステムへの侵入を試み、セキュリティ上の弱点を明らかにする診断手法です。自動化ツールによる脆弱性スキャンとは異なり、経験豊富な専門家が手動で複合的な攻撃シナリオを検証します。
脆弱性診断が「既知の問題が存在するか」を確認するのに対し、ペネトレーションテストは「実際に侵入できるか」「どこまで被害が及ぶか」を実践的に検証します。これにより、自動スキャンでは検出できないビジネスロジックの問題や、複数の脆弱性を組み合わせた攻撃経路も発見できます。
なぜ中小企業にも必要なのか
「自社は規模が小さいから狙われない」という認識は、残念ながら現実と異なります。近年のサイバー攻撃は企業規模を問わず発生しており、むしろセキュリティ対策が手薄な中小企業は攻撃者にとって「コストパフォーマンスの高い標的」となっています。
さらに、サプライチェーン攻撃の一環として中小企業が踏み台にされるケースが増加しています。大企業の取引先として狙われた場合、自社の脆弱性が取引先全体のリスクにつながる可能性があります。取引先からセキュリティ対策の証明を求められる場面も増えており、ペネトレーションテストの実施は事業継続の観点からも重要性を増しています。
脆弱性診断との違い
脆弱性診断は、NessusやOpenVAS等の自動化ツールを用いて既知の脆弱性を網羅的にスキャンする手法です。広範囲を短時間でカバーできる一方、ビジネスロジックの欠陥や複合的な攻撃経路の発見には限界があります。
ペネトレーションテストでは、認証の迂回、権限昇格の連鎖、APIの不正利用など、自動ツールでは検出が困難な脆弱性を、専門家の経験と創造性で発見します。定期的な脆弱性診断で基本的なセキュリティを維持しつつ、ペネトレーションテストで実際の攻撃に対する耐性を確認する——この組み合わせが最も効果的です。
診断対象
3つの領域を、専門的に診断します。
Webアプリケーション
ECサイト、SaaS、業務システムなど、Webブラウザで動作するアプリケーションのセキュリティを検証。SQLインジェクション、XSS、認証・認可の不備、ビジネスロジックの欠陥まで、OWASP Top 10に準拠した包括的な診断を実施します。
API
REST / GraphQL APIの認証・認可、データ処理、レート制限などの安全性を検証。WebアプリやモバイルアプリのバックエンドAPIも対象です。
モバイルアプリ
iOS / Androidアプリの通信の安全性、データ保存の暗号化、APIとの連携部分を検証。OWASP Mobile Top 10に準拠した診断を実施します。
このほか、外部ネットワーク診断やクラウド環境(AWS / Azure / GCP)の設定検証にも対応可能です。詳しくはお問い合わせください。
診断の流れ
診断の流れ
ヒアリングから再診断まで、全体で約4〜6週間が目安です。
事前ヒアリング
お客様のビジネス環境、対象システム、ご懸念事項をお伺いし、診断の目的と範囲を明確にします。
スコープ・ルール定義
診断対象、手法、実施期間、禁止事項などを定め、お客様と合意のうえで契約を締結します。
診断準備
対象環境へのアクセス確認やテスト環境の整備を行い、診断の実施に向けた準備を進めます。
診断実施
1〜2週間国際資格を保有するホワイトハッカーが、攻撃者の視点から手動で脆弱性の発見と侵入テストを行います。
報告書作成・ご報告
3〜5営業日発見された脆弱性を重要度別に分類し、具体的な改善策を含む報告書を作成し、報告会を実施します。
改善後の再診断
無料お客様による改善対応後、修正箇所の再診断を無料で実施し、脆弱性が解消されたことを確認します。
成果物
納品物
診断報告書
エグゼクティブサマリーと技術的な詳細を含む包括的な報告書。日本語で作成・納品します。
脆弱性一覧
緊急・高・中・低の重要度別に分類した脆弱性リスト
修正ガイド(PoC・修正コード付き)
発見された脆弱性ごとに、再現手順(PoC)、影響範囲、そして具体的な修正方法を技術的に詳述します。開発チームがレポートを受け取ったその日から修正作業に着手できるレベルの実装ガイドを提供します。
報告会の実施
診断結果のご説明と質疑応答(オンライン対応可)
アフターサポート
診断後のサポート
報告書の提出で終わりではありません。改善の完了まで一貫してサポートいたします。
改善に関するご相談
報告書の内容に関するご質問や、改善方法の具体的なアドバイスに対応いたします。報告会後も、メールやオンラインでのフォローアップが可能です。
改善作業の支援
オプション発見された脆弱性の修正作業についても、ご要望に応じて技術的な支援を提供いたします。お客様の開発チームと連携し、確実な改善をサポートします。
改善後の再診断
無料脆弱性の修正後、対象箇所の再診断を無料で1回実施いたします。修正が確実に行われたことを第三者の視点から確認します。
継続的なセキュリティ改善
初回診断後の定期的な再診断や、新規システムの追加診断についてもご相談いただけます。長期的なセキュリティ体制の構築を支援します。
料金について
費用について
450,000円
(税別)/ 1対象あたり
基本料金に含まれるもの
- 事前ヒアリング・スコープ定義
- ペネトレーションテストの実施
- 日本語報告書の作成
- 報告会の実施
- 改善後の無料再診断(1回)
オプション
詳細なお見積りは、ヒアリング後にご案内いたします。
国内の費用相場との比較
※ 一般的なWebアプリケーション1対象あたりの費用目安です。代表が同時に経営するインドネシアのIT企業・LOGIQUE社に在籍する、OSCP等の国際資格を保有する専門エンジニアが診断を実施することで、品質を維持しながら適正な価格を実現しています。
よくある質問
導入前の、よくある疑問。
Aテスト前に対象範囲・実施時間・禁止事項・緊急時の連絡フローを明確にしたうえで進めます。本番環境への影響を最小限に抑えるため、危険度の高い操作は事前合意の範囲内で慎重に実施します。必要に応じて、夜間・休日・低トラフィック時間帯での実施も調整可能です。
A当社はペンテスト専業会社です。セキュリティポリシーを策定しましょう、や攻撃を検知するシステムを導入しましょう、などの議論や提案に時間をかけることはありません。ペネトレーションテストを実行するのに必要十分な期間をご提案しています。
Aまずは、外部公開されているWebアプリケーション、管理画面、API、認証機能など、攻撃対象になりやすい箇所から検討するのがおすすめです。事前ヒアリングで、事業上の重要度、予算、納期に応じてスコープを整理します。「どこまで依頼すべきかわからない」という段階でも、現実的な診断範囲をご提案します。