EGセキュアソリューションズ、ネット上の脅威を想定し侵入をテストする「ペネトレーションテスト」を提供開始
- 2019/12/05 10:30
- SecurityInsight
EGセキュアソリューションズは12月2日、インターネット上の脅威を想定しシナリオに沿って侵入可否などをテスト、リスク評価を行なう「ペネトレーションテスト」を提供開始することを発表した。
同社が以前より提供している、ウェブサイトを中心としたセキュリティ上のリスク評価手段としてヒアリングやドキュメント精査とウェブサイトの実査を組み合わせた「ウェブセキュリティアセスメント」サービスに、「ペネトレーションテスト」をプラスする。
このサービスは、個別のシステムにとどまらないウェブサイトを中心としたプロダクト全体の業務フローに着目したリスク評価を目的として、従来のアセスメント手法にペネトレーションテストによる実地調査を加えることにより、プロダクト全体の現状のセキュリティ対策の有効性およびリスクを評価し改善案を提示するものとなっている。
ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果をもとに、業務フローや開発プロセスに潜む弱点を洗い出し、弊社の知見に基づいて脅威分析を行なったうえで攻撃シナリオを作成、シナリオに沿って実際に攻撃を行なう。
これにより、プロダクトや開発プロセス全体においてより現実的なリスク評価が可能となり、効果的な改善策を検討することができる。また要望に応じて、改善策の実施の支援も可能。
一般的にペネトレーションテストは高額で長期間を要するが、同社のサービスでは、ヒアリング、ドキュメント精査、サイト実査(脆弱性診断)等の結果を踏まえ、評価効果の高い攻撃シナリオを選定してペネトレーションテストを行なうことで、比較的低額で短期間から利用することが可能。これにより、従来のアセスメントやペネトレーションテストでは予算・納期的に実施できなかった中小規模のプロダクトにも利用可能となる。