ペネトレーションテスト・
TLPT(Threat-Led Penetration Test)

RayAegisの高度な技術者がAIを活用した独自ツールである脆弱性をより効率的に発見するRayScannerや既知の防護策を迂回する攻撃を生成するRayInvaderなどを駆使し、ハッキング技術を使用してお客様のシステムに侵入し、潜在的な弱点を発見するサービスです。

他社の提供するサービスとの最大の違いは、深い知見から発見、確認された多くのゼロデイ脆弱性(未公開の脆弱性)テストを合わせて実行できる点です。これにより、既知だけでなく未知の脆弱性まで検証することができます。

また、TLPT、レッドチームオペレーション、特殊なケースにおけるコンサルティングなど、メニューにないサービスもございますので、セキュリティ診断やコンサルティングなどに関して気になることがございましたら、お問い合わせページ、電話、メールなどで遠慮なくご連絡ください。

ペネトレーションテスト

RayAegisの提供するペネトレーションテストでは、標準的なセキュリティツール以外に、RayScannerやRayInvaderなどの独自開発のAIツールなども活用して、脆弱性診断で発見できないビジネスロジックの欠陥、複数のタイプのサービス拒否(DoS)やゼロデイなどを含む攻撃に対する問題を発見します。
さらに複数の軽~中程度の脆弱性を組み合わせた攻撃など、実際のハッカーが利用する手法を利用してお客様のシステムへの侵入を試み、実際に起こりうる攻撃に対する問題の検出ならびに問題点の緩和策を提供します。高度な技術と独自ツールにより、他社の同様のサービスと比較して、短期間で行えるほか、簡単に見つからない脆弱性の検出に優れています。
本サービスには脆弱性診断やプラットフォーム診断項目も含まれているだけでなく、脆弱性診断と同様に他社とは異なる提供方式としてページ数・リクエスト数に関係しないサブドメイン単位での価格体系となっており、より短期間で費用対効果の高い、網羅的なサービスとして提供いたします。

項目 内容
診断対象 ゼロデイを含むシステムの脆弱性の検出、Webアプリケーション、メールシステム、アプリケーション/DBサーバーの脆弱性の検出と検証
診断項目 100項目
診断規格 OWASP、OSSTMM、OWASP Top10、PCI DSSなど
診断環境 ツール+手動でのリモート診断・ペネトレーションテスト
標準診断期間 1~3週間程度
報告書 形式/内容
検出された全ての脆弱性について詳細な説明・解説や総合評価を行い、経営層から開発者まで誰でも分かり易い報告書を提出致します。
提出期限
診断終了翌営業日から 15営業日以内
提出方法
PDFファイルを電子メールでお送りするとともに、報告会を開催致します。
再診断 RayAegisの診断において検出された脆弱性について、お客様での修正作業完了後、報告書に記載した脆弱性に限定し修正確認診断を無料にて実施致します。
修正確認診断実施回数は、基本的に無制限です。
修正確認診断実施後、確認診断報告書をご提供致します。
アフターサポート 報告後における診断結果へのご質問にメールで回答。またお客様で修正を行ったWebアプリに再診断を実施。

Threat-Led Penetration Test (TLPT)

システムの脆弱性を網羅的に検出し対策を検討する脆弱性診断やペネトレーションテストと異なり、現実のハッカーによる攻撃や自社のリスク管理に関連する事象を分析する脅威インテリジェンス(Threat Intelligence)により、お客様ごとに具体的なシナリオを策定して侵入やサービスの停止などの想定されるサイバー攻撃に対する対応可否や課題を発見するための実践的な侵入テストです。
主にハッカーに代わって攻撃するレッドチームと、企業のセキュリティ対策チームであるブルーチームに分かれ、最終的にレッドチームは実際の攻撃実現性を、ブルーチームは現時点でのセキュリティ対策運用の不足がないかを検証します。
実施した結果を分析することでサイバー攻撃への対応についての検証として不足する点の洗い出しができるほか、経営課題としてセキュリティ技術に対する投資対効果(ROI)の最大化に向けて活用が可能です。
主に米国や欧州、香港、シンガポールを中心に、経営層や監査といったビジネス観点でのリスク対策として活用することを目的として活用されています。

従来のペネトレーションテストとTLPTとの違いは、大きく分けて以下の通りです。

  従来のペネトレーションテスト TLPT (Threat-Led Penetration Test)
概要 ネットワークに接続されているコンピュータシステムやアプリケーションに対して、実際に既知の脆弱性を突いて侵入を試みるテスト テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト
特徴 対象とするシステムに対し、技術的な評価を実施し攻撃の対象となりうる脆弱性を特定することを主目的とする
脅威インテリジェンス主導の攻撃シナリオを作成しない
自社の環境や最新の攻撃手法を考慮して決定されるものの、個別のカスタマイズは限定的
攻撃者からの攻撃を検知し、速やかに組織的対応を実施する能力を醸成することを主目的とする 脅威インテリジェンスを活用した攻撃シナリオを作成する
個別の企業のシステム環境にカスタマイズする

策定されるシナリオにより実際の侵入テストとして実施する項目が変化するため、システム全体に対する従来型のペネトレーションテストとは必ずしも同一にはなりません。
また、ペネトレーションテストそのもの以外の前提となる脅威インテリジェンス、ならびにペネトレーションテスト完了後の類型化データ・分析結果の集積が重要な企業資産となります。

RayAegisでは主にTLPTの中でレッドチームとしてペネトレーションテスト部分を主にご提供いたします。
本サービスはお客様のご要望をお伺いし、実施する内容や担当箇所を明確化したうえで個別お見積りにてご提供いたします。