English
お問い合わせ
Vulnerability Assessment / Penetration Testing

セキュリティ診断(脆弱性診断・ペネトレーションテスト)

サイバーディフェンスの診断サービスの特徴

脆弱性診断

最新の技術に精通した一流のセキュリティエンジニアが、ツール診断では検出できない項目まで手作業で実施し、検出した脆弱性を単体で評価せずにそれらを組み合わせることで顕在する脅威までを深く分析します。そのためお客様のビジネスにおいて優先して対処すべき課題を明確化し、適切な推奨対策を提示することが可能です。

また一件の診断あたり必ず複数人のチームで取り組むため、丁寧かつ網羅性の高い診断結果をお約束します。

ペネトレーションテスト

ネットワーク全体を侵入対象とし、認証試行(簡易なパスワード、総当り、辞書攻撃等)、機微な情報や設定ファイルの窃取、一般的なサービスやコマンドを使用した攻撃、非暗号化通信の窃取を目的とした中間者攻撃、セキュリティ対策の迂回(アンチウイルス、UAC、FWなど)なども行う実践的なペネトレーションテストの実施が可能です。

APT攻撃など昨今のサイバー攻撃を想定したシナリオのほか、IP電話、監視カメラ、TV会議システムのセグメントといった特殊経路からの検証も可能です。

脆弱性診断とペネトレーションテストの違い

セキュリティ診断(脆弱性診断)とは、ネットワーク、ソフトウェア、Webアプリケーション、IoTデバイスなどを対象に詳細な分析・評価を行うことで、潜在しているセキュリティ上の弱点や脅威を特定するセキュリティ対策の手法です。
脆弱性を洗い出し、事前に対策を講じることで不正アクセスや情報資産の流出などのセキュリティリスクを最小限に抑えることができます。

一方でペネトレーションテストは、対象となるシステムに対して実際の攻撃シナリオに基づいた擬似攻撃を行うことで本物のサイバー攻撃に対する防御能力を評価する手法です。

セキュリティ診断(脆弱性診断)がシステムに潜在している脆弱性を網羅的に検出するのに対し、ペネトレーションテストは実際に攻撃者の視点からあらゆる手段を用いて実際に攻撃が成功しうるかを検証します。

セキュリティ診断(脆弱性診断)の解説記事
ペネトレーションテストの解説記事

サイバーディフェンス研究所が選ばれる6つの理由

Webアプリケーション・ネットワーク・IoT・制御システムを対象とした 脆弱性診断・ペネトレーションテストにおいて、スタートアップから 大手上場企業・官公庁まで幅広い組織に選ばれ続ける理由を解説します。

01

ツール診断に頼らない徹底した手動診断

自動スキャンでは既知パターンしか検出できません。当社のエンジニアはツールが届かない項目まで手作業で検証し、複数の脆弱性を組み合わせて顕在化する脅威まで深く分析します。
「実際に攻撃されたらどうなるか」というビジネス視点でのリスク評価が可能です。

「ツールでは見えないリスクを発見してもらえた」
複数の導入企業様より

02

一件ごとに複数人チームで実施する網羅性の高い診断体制

診断品質を個人スキルに依存させないため、一件の診断あたり必ず複数人のチームで取り組みます。
異なる専門性を持つエンジニアが相互レビューすることで見落としリスクを最小化。診断後の改善提案・技術的な質問対応も同一チームが担当します。

「対応が早く丁寧、アフターサポートが手厚い」
日揮ホールディングス株式会社様
株式会社MILIZE様

03

国際的な実績を持つエンジニアによる攻撃者視点の検証

欧州セキュリティ研究機関でのミッション最速クリアやDefCon CTFコンテスト決勝進出の経験を持つエンジニアが在籍。最新の攻撃TTPSを熟知した実戦的なアプローチで診断を実施します。APT攻撃など高度なサイバー攻撃を想定したシナリオにも対応します。

「攻撃者の思考を持って攻撃を実施するサイバーディフェンス研究所へ」
freee株式会社様

04

IoT・組込機器・制御システムまで対応できる国内数少ない専門体制

一般的な診断会社が対応しにくいIoT・組込機器・ICS/SCADAの領域にも対応。基板・ファームウェア・無線通信・WebUIから産業用制御システム(OT)まで、物理層からアプリケーション層を網羅した実践的な検証を実施します。
IEC 62443などOTセキュリティ国際規格への深い理解を持つエンジニアが在籍し、運用に影響を与えない可用性重視のアプローチで対応します。

「ハードウェア診断を国内で提供している事業者は多くない中で選定」
アイリス株式会社様
横河電機株式会社様

05

経済産業省の情報セキュリティサービス基準に適合した登録事業者

脆弱性診断・ペネトレーションテストの品質を担保する客観的な指標として、経済産業省が定める「情報セキュリティサービス基準」への適合審査があります。当社は同審査に適合し、情報セキュリティサービス台帳に登録されています。
脆弱性診断:018-0006-20
ペネトレーションテスト:018-0006-60
機器検証サービス:018-0006-50

登録状況は 情報セキュリティサービス台帳 からご確認いただけます

06

スタートアップから官公庁まで幅広い業種・組織規模への対応実績

金融・フィンテック、医療DX、エンタメ・ゲーム、SaaS・クラウド、総合エンジニアリング、IoT・医療機器、インターネット・ISP、IT/SIerに加え、防衛省・自衛隊・警察庁・内閣府・デジタル庁・経済産業省・外務省など官公庁への診断実績も有しています。業種固有のリスクを踏まえた診断が必要な場合もお気軽にご相談ください。

導入事例一覧を見る

セキュリティ診断サービス一覧

Webアプリケーション脆弱性診断

サイバー犯罪者と同様の思考に基づく攻撃を実施することで、診断対象となるWebアプリケーションやWebサイトに潜む脆弱性を洗い出します。

ネットワークペネトレーションテスト

本物の攻撃に限りなく近い実戦的な侵入テストを実施することで、お客様のネットワークに潜む本当の脅威を明らかにします。

組み込み機器・IoTセキュリティ診断

物理層からアプリケーション層までの全てを対象としたペネトレーションテストを実施、IoTデバイスに内在するセキュリティ上の問題点を様々な角度から検証します。

制御システムペネトレーションテスト

産業制御システムやSCADAに内在する脅威を顕在化させるだけでなく、長期的な運用も視野に入れた現実的な対策をご提案いたします。

レッドチーム演習

実際の攻撃者と同様にあらゆる手段を駆使し組織に対して擬似的なサイバー攻撃を仕掛けることで、組織全体の実践的な対処能力を評価します。

お気軽にお問い合わせください

製品やサービスに関するご質問、お見積りのご用命、課題解決のご相談はこちらから
お見積もり・お問い合わせ
資料ダウンロード
なお、機密性を重視したご依頼は cdiprivacy(at)protonmail.com 宛てのメールでも承ります。
※ (at) は @ に置き換えてください。
サービス一覧

セキュリティ診断

バグバウンティやセキュリティコンテスト、セキュリティトレーニング講師等で活躍する世界トップレベルのホワイトハッカーが、標準的な脆弱性診断では検出ができないような脆弱性を検出しリスクを評価します。

セキュリティ試験・技術検証

サイバーディフェンス研究所には、一般的なITネットワークに対する攻撃手法に優れるエンジニアに加え、バイナリの解析やエクスプロイト、特殊な無線やハードウェアのリバースエンジニアリングに優れたエンジニアが結集しており、常に最新技術の検証や研究を行っています。

セキュリティトレーニング

ハッキング、フォレンジック、マルウェア解析などの実践的なセキュリティトレーニングサービスを提供しています。
セキュリティエキスパートを目指す方から、高度な技術を習得したい方、サイバー犯罪捜査官など、様々な人材育成のニーズに応えます。

脅威インテリジェンス

組織の目的および業務の内容を踏まえた最適な脅威インテリジェンスサービスの選定、ツールの機能検証、連携のためのシステムの構築や機能拡張ツールの開発、チームへのトレーニングなどお客様のサイバーインテリジェンス活用を支援します。

フォレンジック調査

標的型攻撃に代表される企業ネットワークに対する外部からの攻撃や、Webアプリケーションの改竄、不正アクセスなどのセキュリティ・インシデントの発生時に、初動対応の支援から復旧支援と再発防止策のアドバイスまでをワンストップで支援します。

その他技術サービス

政府機関、民間企業を問わずサイバーセキュリティ分野における様々なテクニカルコンサルティング、アドバイザリサービスを提供しています。
各種調査研究、人材育成、体制構築や、ツール開発など、お客様の課題に応じて最適なアプローチをご提案します。