PENETRATION TESTING
実践的な攻撃シミュレーションで
真の防御力をビジネスインパクトで評価
大手グローバルファームとの協業による国際基準の品質。
金融庁TLPT・重要インフラ防護の豊富な実績。
攻撃から修正まで、開発会社ならではの一貫対応。
DOWNLOAD
相談前に使える関連資料
課題の整理、要件定義、社内説明に使える資料をこのサービスの文脈に合わせて選んでいます。
- VALUE ー
ペネトレーションテストの価値
脆弱性診断との本質的な違いを理解し、真のセキュリティ強度を把握する
| 項目 | 脆弱性診断 個別の問題発見 | ペネトレーションテスト 実際の侵入実証 |
|---|---|---|
| 目的 | 個別脆弱性の発見 | 実際の侵入可能性実証 |
| 手法 | 網羅的チェック | 複合的攻撃チェーン |
| 結果 | 技術的問題リスト | ビジネスインパクト評価 |
| 報告対象 | IT部門 | 経営層・取締役会 |
| 投資規模 | 費用〜 | 費用〜 |
- WHY PENTEST ー
なぜ診断合格でも侵入されるのか
脆弱性診断では見つけられないリスクが存在します
複合的攻撃経路
個別には安全と判定された設定でも、複数を組み合わせることで新たな攻撃経路が生まれます
ビジネスロジックの悪用
正規の機能を想定外の方法で組み合わせ、業務フローの隙を突く攻撃は自動診断では検出できません
人的要素を含む複合攻撃
ソーシャルエンジニアリングとシステム攻撃を組み合わせた、実際の攻撃者が使う複合的な手法を検証します
- APPROACH ー
3つのテストアプローチ
多様なアプローチで、あらゆる攻撃シナリオを検証
ブラックボックステスト
外部攻撃者の包括的シミュレーション。OSINT(公開情報調査)から開始し、最もリアルな攻撃を再現することで真の防御力を評価します。
- SCOPE ー
テスト対象範囲
組織のあらゆる攻撃面を網羅的にカバー
外部ネットワーク
インターネット境界からの侵入経路を特定し、外部公開システムの耐性を検証します
内部ネットワーク
侵入後の横展開・権限昇格シナリオを検証し、社内ネットワークの防御力を評価します
クラウド環境
AWS・Azure・GCPの構成ミスや権限の過剰付与を攻撃者視点で検証します
モバイル・IoT
スマートフォンアプリやIoTなどエッジデバイスの脆弱性を実践的に評価します
ソーシャルエンジニアリング
フィッシングメールや電話など、人的要素を狙った攻撃に対する組織の耐性を検証します
物理セキュリティ
データセンターやオフィスへの物理的な侵入を試み、入退室管理の実効性を確認します
- SCENARIOS ー
業界特化型攻撃シナリオ
各業界の規制要件と脅威に対応した専門的なテスト
金融機関向け(金融庁TLPT対応)
インターネットバンキング不正送金、SWIFT/日銀ネット侵害、ATM/CDネットワーク攻撃、内部不正による情報持ち出しなど、金融機関固有の脅威シナリオを検証します。
- 地銀・信金20行以上でTLPT実施実績
重要インフラ向け
制御システム(OT)侵入、SCADA/DCS攻撃、サプライチェーン経由侵入、物理+サイバーの複合攻撃など、社会インフラに特化したシナリオで実施します。
- 電力・ガス・通信事業者での実施実績
製造業向け
知的財産・設計情報窃取、工場ネットワーク侵入、産業スパイシミュレーション、グローバル拠点への横展開など、製造業固有の攻撃経路を実証します。
- 東証プライム製造業を含む複数企業で実施
- PLANS ー
サービスプラン
目的と規模に応じた最適なプランをご提供
年間契約で改善割引。実施時期・スコープにより価格変動あり
- PROCESS ー
実施プロセス
体系的なアプローチで多層的に攻撃を実証
計画策定
2週間
エグゼクティブブリーフィング、スコープ・ルール定義、攻撃シナリオ合意、法務確認・免責事項を実施します。
偵察・準備
1週間
OSINT調査、攻撃インフラ構築、初期侵入経路の特定を行います。
攻撃実行
3-4週間
段階的侵入、権限昇格・横展開、目標達成の実証、証跡収集を行います。
報告・改善
2週間
詳細分析、報告書作成、経営層報告会、改善計画策定までワンストップで対応します。
- CASE STUDIES ー
導入事例
様々な業界での実践的な攻撃検証と改善実績
地方銀行A行
金融庁からのTLPT実施要請に対応する必要があった
3ヶ月間のレッドチーム演習を実施。勘定系への到達経路3件、重大な内部統制不備を発見
RESULTS
3件
勘定系到達経路
完了
金融庁報告
サイバーレジリエンスが段階的に向上し、他行からのベンチマーク依頼も受けるようになりました
— セキュリティ担当部長
- STRENGTHS ー
GXO独自の差別化
他社にはない強みで、実効性の高いテストを実現
開発会社ならではの修正実装支援
テスト後の脆弱性修正を即座に実施。アーキテクチャレベルでの改善提案からセキュアコーディングでの根本対策まで、改善実装まで一貫対応します。
大手グローバルファームとの協業
監査法人レベルの品質基準を適用。国際的ベストプラクティスの適用、取締役会・監査役会への報告支援、グローバルスタンダード準拠を実現します。
グローバル対応力
英語でのレポート作成・報告、APAC地域での実施実績、各国規制への準拠支援など、多言語・多地域でのペネトレーションテストに対応します。
包括的なアフターフォロー
テスト後も継続的にサポート。改善計画の実装支援、定期的な再テスト、インシデント対応訓練まで、セキュリティ強化を長期的に支えます。
- COMPLIANCE ー
コンプライアンス対応
各種規制要件に準拠したテスト実施
金融業向け規制対応
金融庁TLPTガイドラインへの準拠支援、FISC安全対策基準への対応、PCI DSS要件11.3のペネトレーションテスト要求に対応します。20行以上での実施実績に基づく適切な当局報告を支援します。
- FAQ ー
よくあるご質問
事前に詳細なルールを定め、ビジネス影響を最小化します。重要システムは検証環境での実施も可能です。すべての活動は記録され、万が一の場合も即座に復旧できる体制で実施します。
20行以上でのTLPT実施実績があり、当局報告まで包括的支援します。ガイドラインに準拠した実施計画から、報告書作成、当局への説明まで、ワンストップでサポートいたします。
APAC地域での豊富な実績があり、現地規制も踏まえた実施が可能です。英語でのレポート作成、現地法人との調整、各国のコンプライアンス要件への対応まで包括的に支援します。
- CONTACT ー
無料TLPT準備状況評価実施中
導入前の評価を期間限定で無料提供。金融庁ガイドライン対応状況確認、実施スコープと攻撃シナリオ提案、予算計画・年間スケジュール策定、経営層向け説明資料作成を含む、オンサイト訪問4時間の包括的評価です。