スキャナーが見落とす脆弱性を発見。リリース前に修正し、リスクを排除。
お客様のWebアプリケーションやAPIに対し、実世界の攻撃をシミュレートする専門家主導のペネトレーションテストです。OWASP Top 10に加え、手動による脆弱性悪用、概念実証(PoC)によるエビデンス提供、そして再テストまで含みます。
お問い合わせ
現状
多くの攻撃者は、侵入を試みるのではなく、施錠されていない正面玄関から堂々と入り込みます。
数字で見る現状
データ侵害による平均損害額は490万ドル(IBM Security, 2024年)。
プロアクティブなテストがない場合、侵害の特定と封じ込めに287日を要する。
サイバー攻撃は前年比40%増(ENISA, 2024年)。
予防的セキュリティテストのROIは、侵害後のコストと比較して3倍。
リスクに晒されている企業
社内セキュリティチームを持たない中小企業やスケールアップ企業。データ侵害が即座に顧客離れにつながるSaaSプラットフォーム。GDPR、NIS2、ISO 27001などの規制対象業界。数千人規模のユーザーに提供されるリリース前の製品。
診断でわかること
公開されているすべての脆弱性を、概念実証(PoC)のエビデンスとともに特定・検証。
ビジネスへの影響を平易な言葉で説明したリスク評価(Critical, High, Medium, Low)。
優先順位付けされた修正ロードマップ:最初に何を修正すべきか明確化。
コンプライアンス上必須の指摘と、推奨事項の明確な区別。
CriticalおよびHighに分類されたすべての指摘に対する無償再テスト。
経営層向けの「エグゼクティブリスクサマリー」と、開発チーム向けの技術詳細レポート。
実際のペネトレーションテスト報告書サンプル
ファイルアップロードによる不正アカウント乗っ取り(Critical):認証なしでペイロードがアップロードされ、ソーシャルエンジニアリングリンクを介して管理者セッションが乗っ取られた事例。
権限昇格と大量データ持ち出し(Zero-Day):最低権限のHRアカウントが、全従業員データベース、給与、パスワード、個人データを抽出した事例。
ビジネスロジックの脆弱性、価格操作(Critical):負の数量がサーバー検証を回避し、予約がゼロコストで完了した事例。
サービスの流れ
スコープ定義
キックオフ、スコープ確認、アタックサーフェスマッピング、緊急連絡先の確認。
スキャンと脆弱性悪用
OWASP Top 10に基づく診断、Burp Suite Proによる自動スキャン、論理的欠陥やAPI悪用に対する専門家による手動悪用。
分析と報告
概念実証(PoC)のエビデンスで検証された指摘事項。エグゼクティブリスクサマリーと優先順位付けされた修正ロードマップを提供。
再テストと報告会
CriticalおよびHighに分類された指摘事項の再テスト。報告書提出とチームとの詳細な説明会。
サービス範囲
含まれる内容
すべての公開エンドポイント、API、認証メカニズムに対するアタックサーフェスマッピング。
OWASP Top 10に基づくテストとBurp Suite Proによる自動スキャン。
専門家による手動悪用:認証攻撃、インジェクションチェーン、ビジネスロジックの欠陥、API悪用。
リスク評価とビジネスへの影響を平易な言葉で説明したエグゼクティブリスクサマリー。
開発者向けに、最初に修正すべき事項を明確化した優先順位付けされた修正ロードマップ。
CriticalおよびHighに分類されたすべての指摘に対する無償再テスト。
含まれない内容
ソースコードレビュー(Deep Diveティアで提供)。
アーキテクチャ分析と内部脅威シミュレーション(Deep Diveティアで提供)。
継続的な監視(マネージド脆弱性アセスメントを参照)。
クラウドインフラセキュリティ(クラウドセキュリティアセスメントを参照)。
担当エンジニア
An Ngo, セキュリティエンジニア
攻撃的セキュリティと脆弱性研究の専門家。Red Teamスペシャリスト。200以上のCVE公開実績を持ち、Patchstackでグローバルランキング上位。
専門分野
Web、API、ホスト、モバイル環境における高度なペネトレーションテスト。Java、.NET、PHP、JavaScript、Pythonでの詳細なソースコード監査。カスタムエクスプロイトツール開発とAIを活用したセキュリティ自動化。フルスタックアプリケーションセキュリティ。
業界経験
サイバーセキュリティ。通信。SaaS。
実績
Apple Hall of Fame認定(2024年8月)。PatchstackでグローバルNo.1研究者にランクイン(2023年9月)。CVSS 9.8の重大な脆弱性を含む200以上のCVEを公開。情報セキュリティ演習コンペティションでチームを全国1位に導く。
Gradionが選ばれる理由
ツールに留まらないレッドチームの専門性
OWASP Top 10とBurp Suite Proは出発点であり、到達点ではありません。すべてのエンゲージメントで、専門家による手動での脆弱性悪用(エクスプロイト)を実施。自動スキャナーでは見逃されがちなロジックの欠陥、API悪用チェーン、セッションの脆弱性まで検出します。
2つの深度、一貫した専門チーム
標準(Black/Grey-Box): コンプライアンスのベースライン確認やリリース前チェックに。ディープダイブ(White-Box): ソースコードレビュー、アーキテクチャ分析、内部脅威シミュレーションに。お客様のリスクレベルに合わせて、同一の専門チームが対応します。
常にPoC(概念実証)による実証
すべての発見は、動作するPoC(概念実証)エクスプロイトによって裏付けられます。経営層向けには平易な英語のレポートを、開発者向けにはコードレベルの具体的なガイダンスを提供。再テストも含まれます。
Webアプリケーションペネトレーションテスト
固定料金。追加費用は一切なし。
標準(Black/Grey-Box)
OWASP Top 10、自動スキャン、専門家による手動エクスプロイト、再テストを含む。期間:5~7日間。
- アタックサーフェスのマッピング
- OWASP Top 10テスト
- Burp Suite Proによる自動スキャン
- 専門家による手動エクスプロイト
- 重大・高リスクの発見に対する再テスト
ディープダイブ(White-Box)
標準プランの全項目に加え、ソースコードレビュー、アーキテクチャ分析、内部脅威シミュレーションを実施。期間:17~25日間。
- 標準プランの全項目
- ロジックバグに対するソースコードスキャン
- 全アタックサーフェスにわたるアーキテクチャレビュー
- 内部脅威およびアカウント侵害シミュレーション
- APIの完全性およびビジネスロジック悪用テスト
よくあるご質問
昨年ペネトレーションテストを実施しました。再度必要ですか?
はい、コードベース、インフラストラクチャ、またはAPIが変更されている場合は必要です。ペネトレーションテストの有効性は、実施された時点に限定されます。新機能、連携、依存関係の更新は、新たなアタックサーフェスを生み出します。ほとんどのコンプライアンスフレームワークでは、年次テストが最低限の基準とされています。
テストプロセスはどの程度業務に影響しますか?
標準プランでは、URLアクセス、ステージング環境、および技術的な窓口担当者が必要です。開発チームの関与は、キックオフと報告会のみです。ディープダイブでは、ソースコードへの読み取り専用アクセスと、エンゲージメント全体で2〜3時間の対応時間が必要です。
テスト中に重大な脆弱性が発見された場合はどうなりますか?
重大な発見があった場合、直ちに貴社の技術責任者にご連絡します。最終報告書を待つことはありません。ドキュメント作成中に貴社が危険に晒されることはありません。
自動スキャンとは何が違うのですか?
自動スキャナーは既知のパターンを検出します。私たちのレッドチームは、スキャナーでは見つけられないロジックの欠陥、連鎖的な脆弱性、ビジネスコンテキストを悪用したエクスプロイトを発見します。すべての発見には、スプレッドシート上の深刻度スコアではなく、動作する概念実証(PoC)が含まれます。
次のステップ
ペネトレーションテストで発見された脆弱性は、Webセキュリティ強化サービス(EUR 4,999-6,999)に直接連携されます。私たちは発見された問題を修正し、WAF保護を展開し、すべてのギャップが解消されたことを再テストで確認します。
クラウド環境の場合、クラウドセキュリティアセスメント(EUR 5,999-6,999)は、Web層を超えた範囲までカバーを拡大します。
次のステップに進む義務はありません。ペネトレーションテストレポートは単独で完結します。
Webアプリケーション脆弱性診断: EUR 5,000から
フォームにご記入ください。48時間以内に空き状況とスコープを確認し、ご連絡します。
- 義務なし。営業勧誘なし。
- 48時間以内にご返信
- シニア専門家が対応