セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

ペネトレーションテスト

アプリケーションペネトレーションテスト

Inspection & Consulting

オンラインサービスやアプリケーションを「悪意のある攻撃者の目線」で実際に攻撃し「悪意のある攻撃者から守る」ための改善策を提案

ECサイトやポイント付与アプリなど、個人情報やクレジット情報などの機密情報を扱うオンラインサービスが増加しています。そんなオンラインサービスのアプリケーション(Webアプリ、スマホアプリ、クライアントアプリ)を動作させながら、疑似的にリクエストの改ざんなどの「悪意のある攻撃」を試み、不正ができないかチェックします。調査対象の特性に合わせてフルカスタムで調査し、改善策を提案します。

サービスの強み

ラックのセキュリティエンジニアがソースコードとドキュメントを熟読する
ホワイトボックステストによって徹底調査

アプリケーション(以下、アプリ)やAPI、関連するシステム(サーバ、AWSやAzureなどのクラウドサービスの設定など)のソースコードとドキュメントを確認し、「悪意のある攻撃者の目線」で実際にアプリを動作させ、悪意のある攻撃を実施し潜在するセキュリティ脅威を検証します。
例えば、下記のような課題をお持ちのお客様に有効なサービスです。

  • オンラインサービスの停止を目的とした攻撃が実現可能か知りたい
  • オンラインサービスが取り扱っている機密情報(個人情報など)を狙った攻撃が実現可能か知りたい
  • 認証情報の詐称が可能か(クライアントからの認証が適切に行われているか)調べてほしい
  • ソースコード内に検査不備がないか(サーバ側の適切な検査の実装が行われているか)第三者に見てほしい
  • AWSやAzureで構築したシステムにセキュリティの観点でリスクがないか(設定不備やソースコードに脆弱性がないか)検証してほしい
アプリケーションペネトレーションテストのイメージ

ゲームの脆弱性検出に特化したサービスをお探しの方は、「チート対策ペネトレーションテスト」がおすすめです。
ご興味のある方はこちらからご覧ください。

オンラインサービスの信頼性を向上し、ユーザー離れを防止

  1. 信頼性の向上
    不正を防止し、セキュリティを高めることでオンラインサービスの信頼性を向上します。
  2. ユーザー離れを抑止
    不正対処のための長期メンテナンスやサービス停止などの期間にユーザーが離れてしまうなどのリスクを防ぎます。
  3. セキュアコーディングの推進と安定したサービス運営
    診断の中で、ラックから改善方法を提案することで、より安全な開発、セキュアコーディングとサービス運営の安定化を実現します。

アプリケーションペネトレーションテストの流れ

セキュリティ専門の担当チームが、事前打ち合わせから報告会の開催まで全てのフェーズを担当します。

  1. 事前打ち合わせ
    診断を実施する背景とシステム構成やボリューム感などについて詳しく打ち合わせし、診断の方向性を確認します。

    ※ 必要に応じて秘密保持契約(NDA)を締結します。

    事前打ち合わせ
  2. 動作確認
    ソースコード調査
    「悪意のある攻撃者の目線」にて実際に動作確認し、攻撃方法を想定します。また、ソースコードを詳細に確認することで、動作確認時に想定された攻撃の実現性を探ります。
    動作確認・ソースコード調査
  3. 実現性検証
    動作確認及び調査結果を基に、想定され得るあらゆる「悪意のある攻撃者の行為」に対する実施可否を検証します。

    ※ STEP2とSTEP3を反復し、検証します。

    実現性検証
  4. 攻撃影響度判定
    「悪意のある攻撃者の行為」を対象アプリの性質に応じて、個別にその攻撃影響度を判定します。
    攻撃影響度判定
  5. 診断報告書作成
    攻撃者目線での対象アプリのセキュリティ総合評価、影響度の詳細判定及びソースコードレベルでの問題点に関する指摘を報告書の形式で詳細に取りまとめます。(必要に応じてコラボレーションツールなどでリアルタイムに報告することも可能です)
    診断報告書作成
  6. 報告会開催
    上記報告書を基に報告します。
    報告会開催

※ 1~6までの流れは、およそ2カ月単位での参考スケジュールです。

OS・言語不問、フルカスタムな検証内容

Windows、macOS、Linux系OSなど、OSを問わずあらゆる言語、プラットフォームの調査が可能です。HTTP/HTTPS以外のプロトコルの調査実績もあります。また、アプリの特性に合わせた検証内容を実施いたしますので、より効果の高さを実感いただけるサービスとなっています。

ご希望に合わせて、ブラックボックステストやグレーボックステストによる診断も可能です。ホワイトボックステストでソースコードを確認した際は、コード上で問題がある箇所と改善策を記載します。これによって脆弱性を確実に修正することができます。

ほかの検査や診断手法との比較

「経験豊富な診断員による手作業」+「ホワイトボックステスト」により、調査対象のアプリをソースコードレベルで、開発者の癖などを含めて全方位で検査し、指摘、報告できます。ラックのアプリケーションペネトレーションテストで行うホワイトボックステストは、ソースコードの検証と現象の確認はもちろん、具体的な改善個所の指摘や修正箇所の再評価まで対応します。

※ ご希望により、ブラックボックステストも可能です

検査手法 ラックの
アプリケーション
ペネトレーションテスト
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×
検査手法 ラックの
アプリケーション
ペネトレーションテスト
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×

具体例から見るアプリケーションペネトレーションテストの効果

  • ドキュメントや仕様を理解した上で、意図的に悪意のある攻撃を実施し、脆弱性を検出
    ソースコードの確認とともに検証環境に対して実際に攻撃し、大切なアプリ上で発生し得る被害の可能性を検証します。また、診断員がアプリの動作を実際に確認し、システムを理解した上でソースコードをレビューし、意図的に悪意のある攻撃を試み脆弱性を検出します。
  • 検出した脆弱性に対する改善策を提案
    ソースコードを確認することで、問題となる箇所をピンポイントで指摘し、具体的な改善策を提案します。また、お客様が修正したソースコードについて、「検出した脆弱性を利用した不正行為を防げているか」「修正したことにより新たな不正行為が可能になっていないか」を確認します。

報告書サンプル

ラックだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。

ソースコードレベルでの指摘と提案
攻撃者目線による総合評価と
攻撃影響度の判定
攻撃者目線による総合評価 攻撃影響度の判定
ソースコードレベルでの指摘と改善策を提案
攻撃者目線による総合評価
攻撃影響度の判定
ソースコードレベルでの指摘と改善策を提案

価格

ヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。
参考価格は300万円~です。

「アプリケーションペネトレーションテスト」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top