ペンテストはBlueprintの中核業務です。当社では多種に渡るペンテストを提供しております。ペンテストは、お客様のネットワーク、アプリケーション、機器、WEBサイトなどで検出されたセキュリティ脆弱性を検知、対応するために使用されます。
当社のテスターは:
当社には、スキル、経験、専門知識に基づいて採用された、才能あるセキュリティリサーチャーが多数在籍。サイバーセキュリティに対する情熱と、お客様に高い品質のペンテストを提供する事をモットーとしています。
当社のコンサルタントは、様々なセキュリティ専門分野を持っているため、各プロジェクトで適切な人材を提供することができます。
当社のコンサルタントは、必要な業界標準資格を取得しています。
当社のコンサルタントは、長年の経験を持ち、チーム内で協力しあらゆるケースに対応できます。
Webアプリケーションは、単純な1ページの概要資料から、相互接続(サードパーティAPI、データベース、依存関係等)を実装した複雑な統合型アプリケーションまで多岐に渡ります。
通常、Webアプリケーションは、一般公開されているため、一般的なネットワークシステムよりも攻撃の対象になりやすくなっています。
当社のテスターは、この様なWebアプリケーションへのペンテストを、もはや「芸術的」なレベルで行います。一方、当社では、OWASPアプリケーションセキュリティーのテスト標準に準拠し行いますので、正確かつ包括的に行っております。WEBアプリケーションのペンテスト詳細については、以下のリンクよりお問い合わせください。
社外ネットワークへのペンテストでは、アタッカーが社外ネットワークへ侵入することを想定したテストでお客様の社外ネットワークセキュリティを評価します。 このペンテストでは、社外ネットワーク上で検出された問題を特定し、模擬攻撃を行います。インターネットに接続されているあらゆるネットワーク資産をターゲットにすることが可能です。 通常、社外ネットワークペンテストは比較的短時間に実施されますが、お客様の社外ネットワーク上の資産の種類や規模、ご希望のテスト範囲などにより、テスト期間と規模が異なる場合があります。 社外ネットワークペンテストに関する詳しい情報は、以下のリンクよりお問い合わせください。
お問い合わせアタッカーがリモートまたはオンサイトで社内ネットワークに対する攻撃をを想定し、社内ネットワーク侵入テストの実施を推奨します。
当社のペンテスターは、ちょっとした足がかり(例:お客様の社内にあるデバイスへのアクセス)や、サイトでのワイヤレスアクセスなど、限定的なアクセスから調査を始めます。その後、テスターは、セキュリティ上の障害や脆弱性を利用し、お客様の社内ネットワーク上を検索。移動できる範囲を確認して、可能な限り多くの情報や特権アクセスを収集します。お客様のネットワークの規模や複雑さにもよりますが、一般的にはこのテストは比較的長い期間を要します。
ペンテストを終了後、テスターは、お客様の社内ネットワークの発見された脆弱性などにつき、詳細なレポートと、問題の解決策に関する推奨事項をご提案いたします。
社内ネットワークペンテストに関する詳しい情報は、以下のリンクよりお問い合わせください。
モバイルアプリも例外では無く、大量のユーザーデータを収集するため、アタッカーの攻撃対象となります。 セキュリティの脆弱性を早期に検出し、悪用される前に対応をする事が非常に重要となります。
Blueprintでは、iOSとAndroidアプリケーションの両方のテストを専門とするテスターがテストを行います。OWASPモバイルセキュリティテストガイドラインを取り入れテストを行っております。モバイルアプリペンテストに関する詳しい情報は、以下のリンクよりお問い合わせください。
ホワイトボックスペンテストでは、当社のテスター側に、アプリケーション/ネットワーク/システムのアーキテクチャ、異なるユーザ役割のログイン認証情報(該当する場合)、およびソースコードへのアクセス権等に関する情報をご提供頂きテストを行います。 この手法の利点は、非常に包括的で信頼性が高いペンテストを、時間的に効率良く実施することが可能です。
お問い合わせブラックボックステストでは、テスター側に、対象のアプリケーション/システム、ユーザーやアカウント情報など全く無い状態でテストを行います。 これは、「本物のハッカー」がお客様のアプリケーション/システムを標的にしたときの状況をモデル化し脆弱性を検知する方法です。
しかしながら、この方法ではお客様との契約上の時間的な制約がある一方、実際のハッカーにはこの様な制約がないため、時間をかけて隅々まで調査できる優位性があり、ブラックボックス型のテストの弱点となっています。この調査では、ハッカーが搾取できる脆弱性を検知するのに時間がかかります。そのため、ブラックボックステストは、定期的なペンテストをすでに実施しており、その結果を包括的に確認する、などのシナリオでのご利用を推奨いたします。
グレーボックステストは、ホワイトとブラックの中間に位置しテスター側には、必用最低限システム/アプリケーションやユーザー情報などは共有されますが、ホワイトボックステストほど詳細な情報ではありません。
当社のテスターは、まずはブラックボックスペンテスト同様、認証なしでテストを開始、脆弱性の検知が予めお客様と決められた期間中に検知されなかった場合のみ、お客様から提供された情報を利用してテストを続行します。
お客様がストレス無くにペンテストを実行できる環境を実現します
当社のコンサルタントは、スコープを明確に定義し、お客様のセキュリティ目標を確実に達成するために、最初のスコープの設定段階からサポートします。
スコープやテスト計画の詳細が設定された後、当社のテスターがペンテストを開始します。 スコープで設定されたテスト全般を網羅的にテストするため、通常数名のチームを編成しテストを実行します。これにより、抜け漏れなく、詳細に渡るテストが可能となります。
スコープ内の全ての作業を完了後、テスターはペンテストの診断レポートを作成します。 お客様へレポートの提出前に、当社のQAチームがレポートをレビュー、Blueprintの品質基準に達していることを確認します。
当社では、最終レポートの提出時にお客様とのディスカッションを実施、発見された脆弱性とそれに対する推奨対応策を十分にご理解いただ努力をしております。また推奨事項が明確であることを確認した上で、脆弱性を確実に解決できるよう、さまざまなアフターサービスを提供しています。
サイバーセキュリティーでお悩みやご質問等は、専門家による初回無料のコンサルティングを
ご利用ください。