SecurityLabs（Spirent）

脆弱性診断とペネトレーションテストの違い

脆弱性診断とは

公開されている既知の脆弱性が診断対象(例：Webアプリケーション、ネットワーク)の中に含まれていないか、ツールによるスキャニングをすることで特定し、診断対象に脆弱性が含まれていないかを特定・確認することが出来ます。

特長：安価・短時間で診断が可能です。
考慮点：テスト仕様が固定で細かな点まで確認するためにはペネトレーションテストの実施が必要。

ペネトレーションテストのベンダーを選ぶ際のポイント

ベンダーが持つ認証

「Spirent社は世界的なCREST認定を取得、世界中のお客様に世界最高レベルの倫理的侵入テストを保証」
CRESTとは、情報セキュリティ市場を代表するイギリスの認定機関で、個人ではなく企業が厳しい試験に合格し、最高水準を満たしたスキル・能力・最先端技術・知識を備えた企業に与えられる認定です。ヨーロッパや北米ではベンダー選定時のスタンダード基準となっています。
URL: https://www.crest-approved.org/membercompanies/spirent-communications-plc/index.html

診断の流れ

• お打合せ/ ガイドライン
• 申込
• ヒアリングおよびヒアリングシートの記入
• テスト開始
• レポート提出
  5.1 報告会(※ペネトレーションテストのみ)
• 脆弱性の修正
• 再テスト
• レポート提出
  8.1 報告会(※ペネトレーションテストのみ)

よくある質問

Q：アプライアンス型ですか？
A：SaaS型のサービスで基本的にリモートによる診断となりますので、アプライアンスの導入やソフトのインストールの必要はございません。

Q：オンサイトでもできますか？
A：基本的にはリモートによる診断ですが、オンサイトでの診断も可能となります。その場合、米国よりホワイトハッカーに来日いただく必要がありますので、別途渡航費を頂戴することになります。

Q：脆弱性診断に使うツールは？
A：Spirent社の場合、自社が持つ脆弱性データベース以外にも、Rapid7・Nessus・Qualys・NIST・NSA・Trustwave・PortSwigger・NIKTO・Web Scarab・Fiddlerなど計20種以上の無償や有償の脆弱性提供ベンダーより脆弱性を収集し、1つのデータベースとしてご提供をすることで、カバレッジの広い診断ができるのが脆弱性診断でのポイントとなります。

Q：再テストは別途金額が発生しますか？
A：脆弱性診断・ペネトレーションテストのいずれも、再テストの金額がコースの中に含まれておりますので、別途金額の発生はございません。診断後再テスト希望の場合はお気軽にご要望下さい。

Q：報告会は別途金額発生しますか？
A：脆弱性診断ではベンダーによる報告会は行わずレポートのみのご提供となります。ペネトレーションテストの場合はレポートのご提供とともに無償でベンダーによる報告会を実施させて頂きます。

Q：レポートはPDF形式でしょうか。
A：診断を受けて頂いた全てのお客様には無償でSaaS型のポータルサイトにアクセスするためのアカウントを発行いたします。ポータルサイトより診断結果の確認が出来ると共にPDFでのダウンロードも可能となります。また過去の診断履歴も簡単に遡って確認したり、簡易的なグラフで過去の診断結果との比較にもご利用いただけます。

Q：レポートは日本語対応していますか？
A：ポータルサイトによるレポートのダウンロードに関しては英語でのレポートとなりますが、弊社より日本語翻訳オプションもございますので、日本語対応ご希望の場合はお気軽にお申し下さい。