ホーム > ブログ記事 > リモート(遠隔)で行うペネトレーションテストの特徴
 

リモート(遠隔)で行うペネトレーションテストの特徴

2016-03-15 8:26 PM

ペネトレーションテストは、多くの場合、リモート(遠隔)作業で行えます。

昨日、お客様からご質問いただいたこともあり、少し、その特徴について書かせていただきます。

 

特徴①;コピーシステムOK

ペンテストを行う対象システムは、本番システムのコピーをご準備いただき、そのコピーに対しても行えます。ペンテストを安全に進めるための方法です。

 

 

特徴②;間に日本法人OK

弊社イーライトと、対象システムの保有会社A社との間に、A社指定の日本の会社Z社を含めることもできます。

例えば、弊社イーライトが、TOYOTA社様のシステムにペネトレーションテストを実行する際、しかし、TOYOTA社様は、弊社イーライトと直接の取引を回避されたい場合、TOYOTA社様指定の、例えばSUMITOMO社、SUMITOMO社指定の下請けセキュリティ会社Z社⇔弊社イーライトという形で、間に日本法人を複数含めることは、ペンテストの技術的には問題ございません。

 

ただし、間に日本法人のパソコンを入れてペンテストを行う場合、そのパソコンにあるオペレーティングシステムとツールしか使えなくなります。この方法ですと、弊社イーライトが利用できるツールと方法が限定されるため、成果の高いペンテストは実現できなくなります。弊社では自社の「ハンドメイド」ツールで、ペンテストのためにいろいろなプラットフォーム (Linux, Windows, MacOS用のソフトウェア)を利用します。また、各システム専用に新しいツールも作ります。弊社以外のパソコンからでは、その作業が難しくなってしまいます。

 

従いまして、弊社が対象システムへのペンテストに、Z社のIPアドレスを利用(通過・経由)しなければならない場合、VPN かSSHをご提案したいと思います。また、弊社と対象システムの間(Z社)に設置するパソコンはOS Linuxのパソコンをご準備ください。そうすることで、弊社から対象システムまでのトラフィックは、全てZ社のIPアドレスを通ることができます。と同時に、弊社はツールと方法の規制がなくなり、より精度の高い、深度の深いペンテストが行えます。

 

 

特徴③;報告書は3種類~ OK

 

報告書は英語でご提出できます。

Ⅰ、経営者様向けの報告書、

Ⅱ、SE向けの報告書、

Ⅲ、セキュリティ専門家向けの報告書、

の3種類です。

各分野別に、サーバー担当者向け、ネットワーク技術者向けなどで分類することもできます。

 

 

ペネトレーションテストイメージ

 

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。