ペネトレーションテストと脆弱性診断の最大の違いは、ペネトレーションテストは多くの人手と時間を必要とし、自動化されたツールでは検出できない脆弱性を発見できることです。通常は、実際のハッカーと同じ考え方に基づいて疑似攻撃を行い、既に存在するセキュリティ防護システムを迂回する、侵入しやすいポイントを見つける、といった方法で情報の取得や特権昇格などの侵入目的を達成しうる情報を発見することで、攻撃に対してどのような対策が適切かを検討する重要な要素として利用します。
先日、ツイッター(Twitter)のデータベースが複雑な侵入方法による攻撃を受けました。関連ニュースはこちらから確認することができます。
レイ・イージスのペネトレーションテストはその他の脆弱性診断メニューと同様にパッケージ型価格体系で提供され、脆弱性診断も含んだ包括的かつ網羅的なサービスを提供します。
疑似攻撃テストにおいては、全世界で収集したWAFやIPSを迂回する攻撃手法や既にベンダーに対して通知済みのゼロデイ攻撃等の独自のテストもあわせて実施します。疑似攻撃においてはAIツールを利用した高速かつ網羅的な自動診断だけでなく、ホワイトハッカーがAIツールを駆使してさらに複雑な攻撃を試行することで、より高いセキュリティレベルを検査します。
サービスのページでレイ・イージスの脆弱性診断とペネトレーションテストの説明をご覧ください。