脆弱性スキャナーは単なるリストを生成するに過ぎません。しかし、ペネトレーションテストは「物語」を紡ぎ出します。攻撃者がどのようにして露出したエンドポイントからドメインコントローラーへと侵入し、どのセキュリティ制御が機能せず、アーキテクチャのどの前提が誤っていたのかを明らかにします。真の価値は個々の発見ではなく、その侵入経路全体にあります。

レッドチーム演習は、さらに踏み込んだアプローチです。ペネトレーションテストが特定の制御の有効性を検証するのに対し、レッドチーム演習は、持続的かつ目標指向の攻撃下で、貴社の検知、対応、および連携能力がどこまで機能するかを試します。実際の攻撃者がその範囲を事前に告知しないのと同様に、レッドチームもその範囲を明かしません。

NIS2指令は、監査要件を満たすことを目的とした、コンプライアンス重視のテストを増加させました。これは、実際の脅威露出を明らかにすることよりも、形式的な要件を満たすことに主眼が置かれがちです。その結果、文書上のセキュリティ態勢と運用上の現実との間に乖離が生じています。グラディオンは、単なるチェックボックスを埋めるためのテストは行いません。すべてのエンゲージメントは、組織が真に解決を必要とする問いに答えるために設計されています。

Webアプリケーションペネトレーションテスト

必要な深度に応じて2つのティアをご用意しています。 **スタンダード/リーン:** アプリケーションあたり1週間。OWASP Top 10、認証とセッション管理、アクセス制御ロジック、インジェクション脆弱性、APIエンドポイントの露出、ビジネスロジックの欠陥を網羅します。 **ディープダイブ:** アプリケーションあたり2～4週間。REST、GraphQL、レガシーSOAPインターフェースを含む完全な手動テスト、連鎖的な攻撃経路、高度なビジネスロジック分析を実施します。

テストは手動を優先します。自動スキャナーは表面的な脆弱性を見つけますが、エクスプロイトを発見するのは人間です。

両ティアの成果物: エグゼクティブレポート、概念実証（PoC）エクスプロイトを含むテクニカル詳細レポート、修復ロードマップ。

Webセキュリティ強化

脆弱性の発見は、仕事の半分に過ぎません。ペネトレーションテスト後、私たちは修正を実装します。WAF設定、コードレベルの修復、そして変更が確実に機能することの完全な検証を行います。発見から修正まで7日間で対応します。これは別途追加されるエンゲージメントではなく、テストの自然な継続です。

外部および内部ネットワークペネトレーションテスト

外部テストは、インターネットに面したインフラストラクチャを、内部知識や事前アクセスなしに、現実的な攻撃者の視点から評価します。露出したサービス、認証メカニズム、設定の脆弱性、および連鎖的な攻撃経路を特定します。

内部テストは、フィッシングやサプライチェーン侵害後に最も一般的なシナリオである、境界内への攻撃者の侵入を想定して実施されます。Windows、Linux、クラウド接続環境、ハイブリッド環境全体における横移動の機会、権限昇格経路、Active Directoryの露出、およびセグメンテーションの有効性を評価します。

OTおよびICSペネトレーションテスト

産業制御システム（ICS）環境には、異なるアプローチが必要です。生産ラインを停止させるようなアクティブなエクスプロイトは、許容されるテスト結果ではありません。私たちは、合意された安全境界内で、パッシブ偵察、プロトコル分析、およびターゲットを絞ったアクティブテストを実施します。IEC 62443はリスクとゾーンのフレームワークを提供し、このテストはそのフレームワークで定義された制御が実際に適用されているかを検証します。

この能力はDACH市場では稀です。ほとんどのペネトレーションテスト企業は、ITの手法でOT環境にアプローチし、ModbusやPROFINETに遭遇するとそこで停止してしまいます。しかし、私たちは違います。

レッドチーム演習

フィッシング、物理的侵入試行、ソーシャルエンジニアリング、永続的なアクセス確立、および定義された目標への横移動を含む、全範囲にわたる敵対者シミュレーションです。レッドチームエンゲージメントは、MITRE ATT&CKを敵対的行動フレームワークとして使用し、2～4週間にわたって実施されます。成果物には、攻撃タイムライン、検知ギャップ分析、およびブルーチームとの構造化されたデブリーフィングが含まれます。私たちは単なる発見リストを提出して終了するのではなく、デブリーフィングこそが真の価値を生み出す場だと考えます。

モバイルアプリケーションテスト

機密データを扱う、または認証のエントリーポイントとなるiOSおよびAndroidアプリケーションが対象です。静的解析、動的テスト、トラフィック傍受、およびモバイルクライアントの視点からのバックエンドAPIレビューを実施します。

調査結果のご報告方法

各プロジェクトでは、技術レポートとエグゼクティブサマリーを作成します。技術レポートは、問題修正を担当するエンジニア向けに作成され、再現手順、ツール出力、関連するコードスニペット、具体的な改善策を詳述します。エグゼクティブサマリーは、取締役会やCISO向けに作成され、リスクエクスポージャー、事業への影響評価、優先順位付けされた対応策を提示します。

標準的なすべてのプロジェクトにおいて、修正された問題の再テスト（改善策の検証）はサービス範囲に含まれます。もし修正によって新たな問題が発生した場合でも、当社がそれを特定します。

IT/OTシステム全体のアセスメント

ターゲットを絞ったテストを実施する前に、ITおよびOTシステム全体の状況を把握したい組織様向けに、当社の「サイバーセキュリティ＆インフラストラクチャ安全チェック」が最適な出発点となります。これは約3週間のプロジェクトで、ネットワークセグメンテーション、リモートアクセスリスク、レガシーシステムの露出、両領域におけるアクセス制御を網羅します。成果物には、エグゼクティブ向けリスクスコアカードと優先順位付けされた改善アクションプランが含まれます。コンサルティング日数は6～7日間です。詳細については、サイバーセキュリティのランディングページをご覧ください。

プロジェクト実施モデル

48時間以内に初回スコープ確認の打ち合わせを実施します。プロジェクトのスコープと見積もりは1週間以内に提示します。テスト期間は、本番環境への影響を避けるため、お客様の運用チームと調整します。標準的なWebアプリケーションまたはネットワークテストは、開始から2～3週間で完了します。レッドチーム演習は、目的と環境規模に基づいて別途スコープを決定します。

当社はドイツ、ベトナム、シンガポール、エジプト、タイで事業を展開しています。複数の地域や多国籍インフラストラクチャでのテストを必要とするお客様向けに、単一拠点企業が直面するスケジュール調整の負担なしに、連携した並行アセスメントを実施します。

手法

アプリケーションテストはPTESおよびOWASPの手法に準拠します。OTテストはIEC 62443-3-3セキュリティレベル評価を参照します。レッドチーム演習ではMITRE ATT&CKを使用します。使用ツールには、Burp Suite Pro、Metasploit、Cobalt Strike（ライセンス取得済み）、Nessus、およびOTプロトコル用のカスタムツールが含まれます。

お客様の環境と目的をお聞かせください。1週間以内にテスト計画と見積もりをご提示します。