昨今、サイバー攻撃はますます巧妙化し、頻度も増しています。つい先日も、某大手出版社がサイバー攻撃を受け、情報漏洩、一部のシステムが停止する事態となりました。あなたの会社も、同様の事態に巻き込まれる可能性は決して低くありません。当記事では、最新のセキュリティ対策にも対応している「ペネトレーションテスト」を提供しているおすすめの会社5選をご紹介。ペネトレーションテストがセキュリティ対策にどう役立つのか、目的や脆弱性診断との違い、メリット、費用相場や会社の選び方についても解説しますので、ぜひ参考にしてください。
目次
・まとめ
ペネトレーションテスト会社の選定基準
ペネトレーションテスト会社を選ぶ際に重視するべき基準は、テストの質やコスト面でのバランスがとれたパートナー選びに直結します。当記事で紹介する会社も、以下のような基準に基づいて選定しました:
・大手企業の実績があるか:実績が豊富であれば、テストの質が信頼に足るものであることが期待できます。
・費用対効果が高いか:セキュリティの質を保ちながらも、コストを抑えられるプランを提供しているか。
・テスト開始までのスピード:すぐに対策を実施したい場合に、迅速に対応してくれるか。
・アフターサポートの手厚さ:テスト後も必要に応じたサポートを受けられるかどうか。
ぜひ自社に合ったパートナーを見つける手助けとしてください。
「無料相談」や「無料見積もり」を上手に活用しよう
またペネトレーションテストを初めて依頼する場合や、会社ごとのサービス内容をじっくり検討したい場合には、「無料相談」や「無料見積もり」を積極的に活用しましょう。ほとんどのセキュリティ会社では、初回の相談や見積もりを無料で受け付けているため、気軽に問い合わせができます。
問い合わせしたら絶対にその会社でセキュリティテストを行わなければいけないわけではないので、まずは気軽に話を聞いてみることもおすすめします。
おすすめのペネトレーションテスト会社5選
ペネトレーションテストを実施するなら、必ず専門としている企業に依頼しましょう。
無料ツールを使ってペネトレーションテストを実施する方法もありますが、あらかじめ決められた限定的な範囲しか調査できないため、おすすめできません。
ここでは、ペネトレーションテストを提供するおすすめの会社5社を紹介します。
1. シースリーレーヴ株式会社
シースリーレーヴ株式会社では、世界で活躍する実績豊富なホワイトハッカー集団「Nullit(ナルト)」によるペネトレーションテストを低価格で提供しています。これまでに中小企業様から、大手企業様まで数多くご依頼をいただき、お喜びの声をいただいております。
低価格でご提供できる理由は、「的を絞ったレポート」にあります。
なぜ他社より安いの?
弊社のサービスが低価格な理由としては、脆弱性診断とポイントを絞った結果のレポート作成に重きを置き、高額の理由となる事前打ち合わせや綺麗なレポート作成に時間をかけていないためです。
発見された脆弱性の深刻度・概要・影響度・修正方法をレポートで確認でき、必要に応じて再検査依頼やセキュリティ対策を講じることが可能です。
ペネトレーションテストの費用は60万円〜120万円〜と、実施状況に合わせて2種類のプランを選ぶことができ、どちらも他社と比べると非常に安価な価格で実施できます。
また、実績も国内某大手企業から海外の企業までと、幅広く行っております。
| スマートスキャン | ディープスキャン |
料金 | 60万円 | 120万円 |
実施期間 | 実施期間3日間 | 3~7日間 |
特徴 |
|
|
さらに侵入テストのほかに、毎月実施できる「定期診断サービス」や「セキュリティ対策」などのオプションも用意されているので、安心してサイバー攻撃の予防ができるでしょう。
また、申し込み後、最短5日でテストを開始できるので、時間をかけられない方や最小限の手続きで済ませたい方にもおすすめです。
2. 株式会社ラック
株式会社ラックが提供するペネトレーションテストでは、ホワイトハッカーによる疑似攻撃を仕掛け、対策の有効性や改善点を報告しています。
ヒアリングと準備、攻撃テスト、データ分析、報告、サポートまでを一貫して実施しており、おおよそ4~5ヶ月程度でテストが完了します。
ペネトレーションテストの費用は、実施状況に合わせて700万円〜3000万円程、本格的なペネとレーションテストを希望の方や、TLTPの実施を合わせて依頼したい方におすすめです。
要望に沿ったシナリオで侵入テストを実施し、報告書や診断結果に関する問い合わせにも対応。
標準マルウェア感染シナリオ | 700~1,000万円程度 |
ReadTeam演習の実施 | 1,000~2,000万円程度 |
TLTPの実施 | 2,000~3,000万円程度 |
3.株式会社AGEST
株式会社AGESTが運営するペネトレーションテスト・プラットフォーム「Synack」では、豊富な人材リソースを活かした、短納期かつ柔軟性のある侵入テストを実施可能です。
エンジニア教育と診断実施を自社内で完結させており、内製化することで低コストを実現しています。診断レポートでは、脆弱性の状況および対策方法を詳しく報告します。
ペネトレーションテストの費用は、アプリケーション単位で、実働工数に関わらず固定料金です。詳しい料金については明記されていないので、公式サイトからお問い合わせください。
4. サイバートラスト株式会社
サイバートラストでは、専門領域に特化したペネトレーションテストを実施できます。
通常の「プロフェッショナルペネトレーションテスト」のほか、以下の3種類のメニューが用意されています。
Active Directory(AD)ペネトレーションテスト | テクニカル・リスク・ポイントのチェックを通じ、ADの脆弱性やセキュリティ体制の調査を実施 |
PCI DSS ペネトレーションテスト | PCI DSSで求められるセキュリティ要件に対応したテストを実施 |
Synack クラウドソーシングペネトレーションテスト | 世界最高級の技量・倫理適正・ナレッジを認定されたホワイトハッカーによる多角的で洗練されたテストを実施 |
プロフェッショナルペネトレーションテストでは、一般的な企業システムやネットワークシステムに適しており、攻撃テストによる脆弱性の調査を行います。
いずれも細かな料金体系は明記されていないので、公式サイトからお問い合わせください。
5. GMOインターネットグループ株式会社
GMOサイバーセキュリティが提供するペネトレーションテストです。
システムの想定脅威を確認し、「標的型攻撃・Webペネトレーションテスト・OSINT・物理環境・調査特化型」の5種類のメニューから最適なプランを決定し、ツールと手動でテストを実施します。
不正アクセス対策状況をサイトシールで可視化することで、サイトに訪れたユーザーにサイトの信頼性をアピールでき、サイバー攻撃を予防できます。
ペネトレーションテストの費用は対応内容や期間などによって異なるので、詳しい見積もりは公式サイトからお問い合わせください。
ペネトレーションテストとは?
ペネトレーションテスト(ペンテスト)とは、攻撃者の視点からシステムに実際の攻撃を行い、セキュリティ脆弱性を特定し修正する手法です。
ペネトレーションテストの目的って何?
ペネトレーションテストの主な目的は、本ブログの後半で詳しくご紹介しておりますが、簡潔にまとめると次の3つのポイントに集約されます。
1. 弱点の特定:ペネトレーションテスター(「ホワイトハッカー」とも呼ばれる)が、システムに存在する潜在的な脆弱性や弱点を探し出します。
2. 実際の攻撃の模倣:見つけた脆弱性を利用して、実際の攻撃者がどのように不正アクセスやデータの窃取を行うかを模倣します。これにより、実際の脅威がシステムに与える影響を確認することができます。
3. 報告と修正の提案:テストの結果を基に、弱点の詳細とその修正方法を関係者に報告します。この報告により、企業や組織はセキュリティの向上策を講じることができます。
ペネトレーションテストは「事前にセキュリティ脅威になりうる脆弱性を把握する」ことが最大の目的です。問題が起きてしまう前に、対策を講じることができるのが、最大のメリットです。
ペネトレーションテストについて疑問点やご不明な点等があればお気軽にご相談ください。
セキュリティ診断のプロがお答えいたします。
ペネトレーションテストの目的とは?
ペネトレーションテストは、システムやネットワークに対するサイバー攻撃を模倣し、その脆弱性を洗い出すことで、セキュリティ対策の有効性を検証するものです。
具体的な目的は以下の通りです。
システムの脆弱性特定 攻撃者が悪用可能な脆弱性を洗い出し、そのリスクを評価することで、情報漏えいやシステムダウンといった重大な事態を未然に防ぎます。
攻撃経路の特定 攻撃者がどのようにシステムに侵入できるか、具体的な経路を明らかにすることで、より効果的な防御策を講じることができます。
セキュリティ対策の有効性検証 現在のセキュリティ対策がどの程度有効か、実証的に評価することで、対策の不足部分を特定し、強化に繋げます。
リスク評価 各脆弱性のリスクを評価し、優先順位付けを行うことで、限られたリソースを効果的に活用し、最もリスクの高い部分から対策を進めることができます。
情報漏えいリスクの軽減 顧客情報や機密情報の流出を防ぎ、企業の信頼を損なう事態を回避することで、ビジネスへの影響を最小限に抑えます。
システムダウンの防止 サイバー攻撃によるサービス停止を防ぎ、ビジネスの継続性を確保します。
法規制への対応 情報セキュリティに関する法規制への準拠を証明し、法的リスクを軽減します。
経営層への報告 ペネトレーションテストの結果を基に、経営層へセキュリティ状況を報告し、適切な意思決定を支援することで、組織全体のセキュリティ意識向上に貢献します。
また、ペネトレーションテストを実施することで、企業は以下のようなメリットを得られます。
サイバー攻撃に対する備え 潜在的な脅威を事前に把握し、万が一の事態に備えることができます。
ビジネス継続性の向上 システムダウンや情報漏えいによる事業への影響を最小限に抑え、安定したビジネス運営を可能にします。
ブランドイメージの向上 情報セキュリティ対策に力を入れていることを顧客やステークホルダーに示し、企業イメージを向上させることができます。
法規制へのコンプライアンス 情報セキュリティに関する法規制への準拠を証明することで、法的リスクを軽減し、企業の信頼性を高めます。
ペネトレーションテストは、単なるセキュリティ対策ではなく、企業のビジネスを支える重要な投資です。 テストを通じて、システムのセキュリティレベルを評価し、潜在的なリスクを最小限に抑えることで、企業の資産とブランドを守ることができます。
ペネトレーションテストと脆弱性診断の違い
ペネトレーションテストとは、セキュリティの評価手法であり、攻撃者の目線からシステムやネットワークに対する実際の攻撃を模擬的に行い、潜在的な脆弱性やセキュリティリスクを明らかにする一方、脆弱性診断は既知の脆弱性の特定と分析に重点を置きます。
それぞれの違いや目的を表にまとめました。
| ペネトレーションテスト | 脆弱性診断 |
目的 | 攻撃者の目的が達成されてしまうかを確認するために、必要な脆弱性を発見・評価・検証すること | 脆弱性を網羅的に洗い出すこと |
形式 | 攻撃目標を達成できるか、狙い目となるセキュリティ上の欠陥が無いかを評価する | Web、ネットワーク、システムを構築する要素をセキュリティ企画と照らし合わせて、安全性を確認する |
報告内容 | 攻撃シナリオに基づいた検証結果 | 個別の脆弱性リスト |
ペネトレーションテストの目的は、攻撃するターゲットを決めて実際にどこまで攻撃できてしまうのかを確認することです。
そこに脆弱性が存在するかではなく、脆弱性を利用して実際にシステムへ侵入できるのか、機密情報を盗むことが可能かどうかを、シナリオに基づいて確認します。
一方で、こうした小さな問題点や脆弱性を含めて、セキュリティ上の不備を網羅的にチェックするのが「脆弱性診断」の目的です。また、すぐにでも対処が必要とは言えないものの、滞在リスクとなっているケースや課題もまとめて洗い出すこともできます。
このことから、ペネトレーションテストと脆弱性診断は、それぞれの目的に応じた使い分けや組み合わせが必要です。
ペネトレーションテストと脆弱性診断どちらをすればいいか迷われている方は、是非弊社へご相談ください。あなたにあった最適なプランを提案させて頂きます。
無理な営業もしませんのでお気軽にお問い合わせください。
ペネトレーションテストを会社に依頼するメリット
ペネトレーションテストを自社で行うのではなく、専門のセキュリティ企業に依頼するメリットは多岐にわたります。主なメリットは以下の通りです。
1. 専門知識と経験の活用
多様な攻撃手法への対応 専門企業は、最新の攻撃手法や脆弱性に関する深い知識と経験を持っています。これにより、自社では発見が難しいような複雑な攻撃シナリオを想定したテストを実施することができます。
多様なツールと技術の活用 専門企業は、様々なペネトレーションテストツールや技術を保有しており、これらを組み合わせることでより網羅的なテストを実施することができます。
2. 客観的な視点
第三者による評価 自社でテストを行うと、どうしても自社のシステムに対する思い入れや盲点が生じがちです。専門企業は、客観的な視点からシステムを評価し、問題点を洗い出すことができます。
中立な立場からのアドバイス 専門企業は、特定の製品やサービスに偏ることなく、中立な立場から最適なセキュリティ対策をアドバイスすることができます。
3. 効率化とコスト削減
専門ツールの利用 専門企業は、高価なペネトレーションテストツールを保有しており、これらを効率的に活用することで、テストコストを削減することができます。
人的リソースの削減 自社でテストを行うには、専門知識を持った人材の育成や確保が必要となります。専門企業に依頼することで、人的リソースの削減に繋がります。
4. 法的責任の明確化
責任分担の明確化 専門企業にテストを依頼することで、テスト結果に対する責任分担が明確になります。万が一、テスト中に問題が発生した場合でも、専門企業が責任を負うことになります。
5. 最新の情報収集
最新の脅威情報 専門企業は、常に最新のセキュリティ脅威情報を収集しています。この情報を基に、最新の攻撃手法を想定したテストを実施することができます。
ペネトレーションテストを外部の会社に依頼することで、自社では実現できない高度なセキュリティ評価と、客観的なアドバイスを得ることができます。また、専門知識やツール、人的リソースの活用により、効率的でコスト効果の高いテストを実施することが可能です。
ペネトレーションテスト会社に依頼する流れ・やり方
ここからは、ペネトレーションテストのやり方について種類や流れを解説します。
ペネトレーションテストは、一般的に以下のような流れで実施されます。それぞれの流れは、利用するサービスやツールによって異なります。
ヒアリング・準備 |
|
攻撃テスト |
|
報告書を作成 |
|
ペネトレーションテストにおける侵入・攻撃の種類は大きく分けて4つあります。
外部ペネトレーション | テスト攻撃者がシステムの外部から攻撃してくることを想定したテスト |
内部ペネトレーションテスト | システムの内部に攻撃者が侵入していることを想定したテスト |
ホワイトボックス型テスト | 対象のシステム構成や機器情報などの構造を把握した上での、顧客に合わせたテスト |
ブラックボックス型テスト | 対象のシステム内部構造は考慮せず、外部から把握できる機能を検証するテスト |
外部からのテストと内部からのテストの2つに分類されますが、外部だけでなく内部からのペネトレーションテストも重要です。
また一般的にはブラックボックス型でテストするケースが多いものの、ホワイトボックスの方が、より短時間で高い効果が期待できます。最近では中間であるグレーボックス型で実施するケースも増えているようです。
ペネトレーションテストの費用は?
依頼する際にかかる費用相場
ペネトレーションテストにかかる費用は依頼する会社や実施するシナリオ内容によっても大きく異なりますが、平均としては700万~1000万円程度です。
自社の予算と照らし合わせて会社を選定しましょう。
ペネトレーションテストは、個人向けの無料で行えるツールもあります。しかし、無料ツールではあらかじめ決められた基本的な項目しか検証できません。
より詳細に奥までセキュリティ対策を調査するには、ペネトレーションテストを提供しているシステム会社に依頼するのが安心です。
なお、シースリーレーヴ株式会社が提供する、ホワイトハッカーによるペネトレーションテストサービスであれば、40万円〜の低価格でお試しいただけます。
※スマートスキャンが40万、ディープスキャンが100万円です。
詳しくはこちらをご覧ください。
ペネトレーションテストを会社に依頼するときの注意点
外部委託する際には以下の点に注意が必要です。
企業の選定: 実績や評判の良い企業を選ぶことが重要です。
契約内容: 契約内容をしっかりと確認し、テスト範囲、報告内容、責任範囲などを明確にする必要があります。
情報漏えい対策: 委託先の企業との間で、機密保持契約を結ぶなど、情報漏えい対策をしっかりと行う必要があります。
これらの点を踏まえ、自社の状況に合わせて最適なペネトレーションテストの依頼先を選定することが重要です。
ペネトレーションテストは、内容によっては数百万円単位でコストがかかることもあります。まずはホームページをチェックした上で、見積もりを確認しましょう。
予算に応じて内容や方法を柔軟に対応してくれる企業や、低コストで必要なセキュリティテストを実施してくれる企業もあります。
またペネトレーションテストの成果は、テストを実施する人のスキルによって異なる場合が考えられます。依頼先の企業がどのようにテストしているのか、どのような実績があるかをよく確認しましょう。
ペネトレーションテスト会社に問い合わせる前に確認しておいた方がいいこと
ペネトレーションテストを依頼する際、スムーズに話を進め、最適なプランや提案を受けるためには、事前に準備しておくべき情報があります。事前に必要な情報をまとめておくことで、具体的な見積もりや提案をもらいやすくなり、やりとりも効率的です。以下は、問い合わせ時に用意しておくべき基本的な項目のリストです。
1. セキュリティテストの対象システム
具体的なテスト対象を明確にする
ペネトレーションテストを依頼する際には、まず対象とするシステムやネットワーク、アプリケーションの範囲を明確にしておきましょう。たとえば、特定のウェブアプリケーションだけをテストするのか、ネットワーク全体を対象にするのかなど、範囲が広がると料金やテスト内容も変わってきます。事前に以下のような点を確認しておくとよいでしょう。
テスト対象のシステム:社内ネットワーク、クラウドシステム、ウェブアプリケーションなど
システムの重要度:顧客データが含まれているか、機密情報が保存されているか、ビジネス継続に影響があるか
必要な範囲:内部からのテスト、外部からのテスト、あるいはその両方
これらの情報をもとにテストの範囲が明確になれば、見積もりの精度も高まり、結果として適正な価格や内容でテストを依頼できるようになります。
2. 予算
ペネトレーションテストの予算は会社によって異なり、範囲や内容によって大きく変動します。特に限られた予算内で対応してもらいたい場合には、事前に予算を決め、依頼時に伝えることが効果的です。予算が伝わると、会社側もそれに見合ったプランを提案してくれるため、希望に合った内容で話が進めやすくなります。
また、複数のプランがある場合も多いので、予算に応じてどのプランが最適かを尋ねることで、効率的なテストとコストパフォーマンスを両立できる可能性が高まります。
3. 対応可能なスケジュール
テスト実施希望スケジュールの確認
ペネトレーションテストの実施期間は、依頼内容によって異なりますが、一般的に数日から数週間かかることが多いです。そのため、実施希望のタイミングやスケジュールを確認し、問い合わせ時に会社側に伝えるとスムーズに日程調整が進みます。急ぎの案件や特定の期限がある場合は、その旨を伝えておくことで、早急に対応できるかの判断もしてもらいやすくなります。
この準備リストをもとにしておけば、問い合わせの際にスムーズに話が進み、適切な提案が受けやすくなります。また、会社側も具体的な内容がわかると柔軟にプランを提案できるため、結果的に効率的な進行が期待できます。
まとめ
ペネトレーションテストを実施することで、自社システムが攻撃されたときのリスクを把握して、自社のセキュリティを向上させられます。
実施者の技術力や使用ツールによって成果は異なり、コストも高くなりがちな傾向です。そのため、テスト内容やコストを考慮した上で、依頼先を十分に検討しましょう。
ペネトレーションテストに関するご相談や質問についても、ぜひお気軽にお問い合わせください。
ペネトレーションテストならシースリーレーヴ
ペネトレーションテストの会社をお探しの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。
弊社では、海外で活躍するホワイトハッカー集団「Nulit・ナルト」によるペネトレーションテストを60万円〜の低価格で提供可能です。
さらに毎月定期的に侵入テストを実施したり、ホワイトハッカーのロゴをサイトに掲載したりすることで、サイバー攻撃の予防を高めることができます。
また自社でのセキュリティ対策が難しい場合は、ホワイトハッカーおよびエンジニアが開発を行うことも可能です。
これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。
セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。
最後までお読みいただき、ありがとうございました。
