■ペネトレーションテストとは（脆弱性診断との違い）

"疑似的な攻撃を仕掛け、セキュリティ対策の有効性を確認すること"

脆弱性が見つかっても、お客様の環境でサイバー攻撃が本当に成功してしまうかは分かりません。
導入しているセキュリティツールや、インフラの設定状況によって、サイバー攻撃の成否が左右されるためです。

ペネトレーションテストは、脆弱性に対して、疑似的な攻撃を仕掛けることで、お客様のセキュリティ対策を突破して、サイバー攻撃が成功するかを検証し、 その対策方法までご報告します。

従来のセキュリティ診断における問題点

従来のセキュリティ診断には、いくつもの課題がありました。
ペネトレーションテストの第一世代は、脆弱性診断ツールによる自動検査です。
第一世代では、ツールごとに、言語や、システム、スコープに制限があったため、複数のツールを組み合わせる必要がありました。
また、検出の精度も低く、度々誤検出してしまうケースもありました。

第二世代と呼ばれる「ホワイトハッカーによるマニュアルのペネトレーションテスト」では、複数の診断ツールのチューニングや、テスト対象への負荷を見ながらの調整など、 人手に頼る部分が多く、世界的なホワイトハッカーの人材不足もあいまって、診断長期化、コスト高や、希望時期に実施できない、という課題がありました。

弊社ペネトレーションテストサービスは、AI・RPAを応用することで、こうした従来の課題をクリアした、新しい第三世代と呼ばれるペネトレーションテストです。

第１世代｜検査ツールによる脆弱性診断

・ツール毎に言語、システム、スコープに制限があったため、複数のツールを組み合わせ、誤検出が多かった

第２世代｜ホワイトハッカーによるマニュアルペネトレーションテスト

・人力診断のためスコープに限界があり、診断期間長期化診断期間長期化
・ホワイトハッカーを長期間契約するため、コストが高い
・ホワイトハッカーの人材不足で、希望時期に実施できない

AI×ホワイトハッカー＝第3世代のセキュリティ診断
「ペネトレーションテスト」

[ペネトレーションテスト全体図]

AIとRPAを搭載した検査ツール「ImmuniWeb」で、最短2週間の高速診断を実施。
見つかった脆弱性での攻撃成立可否まで確認、報告
※対象に応じてImmuniWeb以外の検査ツールを組み合わせた診断も実施します