事故を未然に防止するために
平時から実施可能な専門家による情報セキュリティ診断サービスをご提供します。

脆弱性診断とペネトレーションテストの違い

脆弱性診断はシステム全体の網羅的な点検で、ペネトレーションテストは特定の問題に対するシミュレーションです。

例えるなら、脆弱性診断は、家の鍵穴に対して、既知の鍵(攻撃ツール)で開けられてしまうような鍵穴(システムの脆弱性)がないか、一つずつ点検していくような作業です。一方、ペネトレーションテストは、泥棒(攻撃者)が家への侵入を試みる様子をシミュレーションして家の窓や鍵穴をこじ開けるなどして実際の侵入を試み、家のセキュリティシステムがどれくらい効果的に泥棒を防げるかを確認するイメージです。

脆弱性診断とペネトレーションテストは、それぞれで使う手法や調査する手法が異なるので、使い分ける必要があります。

脆弱性診断(Webアプリケーション診断・プラットフォーム診断)

「Webアプリケーション診断」では、各社で独自に作り込みされているWebアプリケーションの調査を行います。「プラットフォーム診断」では、サーバーにインストールされたOS(オペレーティングシステム)やミドルウェア、およびネットワークコンポーネントなどを対象に調査を行います。

「Webアプリケーション診断」サービスの特徴

FRONTEOでは、専門的な知識をもった診断技術者が、WebアプリやWebサイトに潜在するセキュリティ上の問題を洗い出し、必要な対策のアドバイスを提供します。

「Webアプリケーション診断」サービス概要

インターネット経由により、独自の検査ツールを利用した、品質の標準化と診断項目等の網羅性を確保しながら検査をおこないます。
専門の診断技術者がアプリケーションの構造を考慮しながら、手動で検査を実施するため、従来の診断ツールでは検出困難な脆弱性の検出が可能です。

また、単に脆弱性の存在を調査するだけでなく、その脆弱性が具体的にお客様のシステムに対して、どのような影響を与えるかまで検証します。報告書は、技術者による5段階評価、総評、脆弱性およびリスク(影響度)の解説、対応策を、画面キャプチャを取り入れてわかりやすく作成します。

「プラットフォーム診断」サービスの特徴

FRONTEOでは、脆弱性スキャナによる診断に加えて、技術者の手作業による診断を実施します。脆弱性スキャナのみによる診断では不可能な「脆弱性の検知漏れ、誤検知のリスク低減」や「診断ツールでは検出不可能な脆弱性の検出」が可能となっています。

「プラットフォーム診断」サービス概要

OSや各種サーバーソフトウェアを対象に、脆弱性の有無を独立かつ専門的な第三者の立場から評価します。不要なサービスの動作や公開がないか、また、メール不正中継やDNS再帰的問い合わせ・ゾーン転送、公開不要なWebコンテンツや各種サービスの設定不備などを調査します。診断の結果、脆弱性が検出された場合は、脆弱性の詳細や想定されるリスクと共にサービス提供中の構成や環境を考慮した改善策を提示し、セキュリティレベルの改善を支援します。

ペネトレーションテスト

サービスの特徴

FRONTEOでは、お客様のシステム(サーバ、ネットワーク機器)に対し、攻撃者と同等の疑似攻撃を行うことで、攻撃に対する耐性やセキュリティレベルの客観的評価を実施。システム強化策を提供します。

サービス概要

インターネット経由およびご指定いただいた、内部LANセグメントから対象サーバやネットワーク機器等に対して、複数のツールおよび手作業により、脆弱性の有無を検証します。

さらに、インターネットに公開されている既知の脆弱性を利用してサーバへの侵入を可能とするプログラムや、独自のスクリプト等を使用して、攻撃の可否を検証します。

ペネトレーションテスト 概要