ペネトレーションテストは、お客様のシステムに対する実世界の攻撃を統制された承認済みの環境でシミュレーションするものです。脆弱性スキャン(データベースから既知の弱点を特定するもの)とは異なり、ペネトレーションテストは手動のエクスプロイト、連鎖した攻撃パス、実際の攻撃者の手法を反映した創造的なテクニックを含みます。目標は、お客様の環境に対して攻撃者が実際に何を達成できるかという具体的な質問に答えることです。
Top Floorは、ネットワークペネトレーションテスト(内部・外部)、Webアプリケーション評価、APIセキュリティテスト、クラウド設定レビュー、ソーシャルエンジニアリングキャンペーンを実施します。すべてのエンゲージメントはOWASP、PTES、NIST SP 800-115に基づく体系化された方法論に従います。スコーピングとルール・オブ・エンゲージメントから始まり、偵察とエクスプロイトを経て、発見事項、ビジネスインパクト、具体的な修正方法を明確に説明するレポートを納品します。
当社のテスターは、自動化ツールを実行して出力を整形するジュニアアナリストではなく、毎日この作業を行うシニアプラクティショナーです。すべての発見事項を手動で検証し、誤検知を排除し、エンジニアリングチームが自信を持って再現・是正できるよう概念実証の証跡を提供します。
Frameworks: OWASP Testing Guide, PTES, NIST SP 800-115
対象となる方
- SOC 2や顧客要件のために年次ペネトレーションテストが必要なSaaS企業
- 規制によるテスト義務の対象となる金融サービス企業
- HIPAAセキュリティテストを必要とするヘルスケア組織
- 決済データおよび顧客データを保護するEコマースプラットフォーム
- ペネトレーションテストレポートを要求するコンプライアンス監査に備える組織
提供内容
- ルール・オブ・エンゲージメントを含むスコーピング文書
- リスクランク付き発見事項を含むエグゼクティブサマリー
- 各発見事項の概念実証証跡を含む技術レポート
- 重大度と悪用可能性で優先付けされた是正ガイダンス
- 修正の検証のための是正後の再テスト
- コンプライアンスおよび顧客要求のための証明書