コンテンツへスキップ

ペネトレーションテストサービス
Penetration Test Service

攻撃者の視点で、貴社の
“本当のリスク”を可視化する

ファイアウォールやEDR、脆弱性診断だけでは見つけきれない、構成上の抜け道。
それらを突いた攻撃は、たった1つの突破口から組織全体に波及し、重大な被害をもたらします。

CyberCrewのペネトレーションテストは、攻撃者視点での模擬攻撃を通じて、
"どこまで突破され、どこに影響するのか"を再現・検証する実践型のセキュリティ評価です。

単なる脆弱性の列挙にとどまらず、組織の構成や人の動きまで含めて、
攻撃シナリオを描きながら本質的なリスクを明らかにします。

CyberCrewが提供する4種のペネトレーションテスト

シナリオ型ペネトレーションテスト

業務や組織構造を踏まえてカスタム設計された“攻撃シナリオ”に沿って、 実際の攻撃フローを模擬的に実行。内部感染、権限昇格、情報持ち出しなど、 "攻撃の現実性"と"被害の広がり"を横断的に評価します。

  • 組織横断型・実害ベースの攻撃再現
  • ストーリーはすべてゼロベース設計
  • MITRE ATT&CK や Red Teaming 手法に準拠
シナリオ型ペネトレーションテストの詳細はこちら

標的型ペネトレーションテスト

Webアプリやクラウド、AI基盤など、特定の技術単位で 攻撃の成立可否や設定ミス・脆弱性の影響範囲を検証するテストです。 OWASPなどの基準に基づき、対象構成に応じた評価を実施します。

  • OWASP Top 10 / MASVS 等のガイドライン準拠
  • 技術対象別(Web / モバイル / LLM等)に最適化
  • ツール+手動診断により誤検出・誤評価を劇的に削減
標的型ペネトレーションテストの詳細はこちら

ソーシャルエンジニアリングペネトレーションテスト

人を標的にした攻撃(フィッシング・なりすまし・情報詐取など)を通じて、組織の「人と仕組み」の脆弱性を検証するテストです。物理侵入や電話を用いた疑似攻撃にも対応し、セキュリティポリシーの有効性や、従業員の対応力を評価します。

  • 組織文化や業務実態に合わせたシナリオ型演出
  • フィッシング、ヴィッシング、物理侵入など多様な手口に対応
  • 企業倫理を踏まえたテストフロー
ソーシャルエンジニアリングテストの詳細はこちら

大規模言語モデル(LLM)ペネトレーションテスト

ChatGPTなどのLLM(大規模言語モデル)を活用したシステムに対して、プロンプトインジェクションや情報漏洩、脱検閲の再現を通じ、AIを介した攻撃経路の存在や被害範囲を検証するテストです。 API・チャットUI・外部連携など、実運用に近い条件で評価を行います。

  • プロンプトインジェクション・脱検閲などLLM特有の脅威に対応
  • API連携や外部出力処理も含めたエンドツーエンド評価
  • お客様環境に応じた完全個別設計・ASK対応
LLMペネトレーションテストの詳細はこちら

シナリオ型と標的型の違い(比較表)

比較項目 シナリオ型ペンテスト 標的型ペンテスト
対象範囲
複数システムを横断
単一システム単位
手法
ストーリー設計+実行型
技術対象別に評価
評価基準
MITRE / Red Team等
OWASP / MASVS等
想定難易度
中〜高
推奨対象
社会的責任の大きい業種 / 大企業
Webサービス / SaaS事業者など

CyberCrewの特長

  • ホワイトハッカーを含む、チームで実施

    ホワイトハッカーだけでなく、他のセキュリティ専門家も参加。 複数の視点から攻撃を試すことで、リスクを幅広く検出します。

  • 脆弱性診断を標準内包

    すべてのペネトレーションテストに、ツールによる自動診断と、専門家による手動診断が含まれています。 脆弱性の有無だけでなく、攻撃者の視点で悪用が可能かどうかまで確認します。

  • 精密診断とシナリオ再現の両立

    単なる診断にとどまらず、現実に起こり得る攻撃シナリオを実行可能な形で再現。 構成全体や人の動きを含めた攻撃経路を検証します。

  • 2層構造の報告書を提供

    経営層向けにはビジネス影響が分かる要約レポート、技術者向けには詳細な手法と再現性のある技術資料を提供します。

  • 国際資格保有者による対応

    OSCPなどの国際的なペネトレーションテスト資格を有するメンバーが診断を担当します。

  • 柔軟な再診断・支援対応

    初回診断後の再診断に対応します。報告内容に関するご質問はもちろん、さらなる追加検証や具体的な対策支援についても、まずはお気軽にご相談ください。

このような方に選ばれています

  • 開発スピードを重視し、設定見落としリスクが不安
  • 提携先・上場審査・取引要件でペネトレーションテストが求められている
  • クラウド構成が複雑化し、どこまで守れているか明確でない
  • ダークウェブ上に自社情報が出回っており、内部侵入を疑っている

よくあるご質問

脆弱性診断との違いは?

CyberCrewのペネトレーションテストには、脆弱性診断が含まれていますので、脆弱性診断のスピードと広範囲な検査および、ハイスキルなホワイトハッカーによる深い診断が両立しており、包括的な診断サービスを提供いたします。

なぜペネトレーションテストを実施する必要があるのですか?

主な理由は次の3つです。
1. 脆弱性診断ではわからない、攻撃者視点でのリスクを明らかにすることができます。
2. すでに導入されているセキュリティ対策の有効性を評価できます。
3. リスクと攻撃シナリオを明確にすることで、セキュリティ投資の必要性を客観的に説明できるようになります。

シナリオ型と標的型、どちらを選べばよいか分かりません。

ご安心ください。お客様の目的・構成・予算に応じて最適な方式をご提案します。 まずはお気軽にご相談ください。

テストの実施中、サービスを停止する必要はありますか?システムへの影響が心配です。

いいえ、基本的にはサービスを停止する必要はありません。お客様の許可なくシステムを停止させるようなテストを行うことはありません。ただし、影響を最小限にするためには、本番環境以外のテスト環境(UAT、ステージング、開発環境など)に対してテストを実施することをお勧めいたします。

テストで脆弱性が見つかったら、その後どうすればいいですか?

お客様にて修正が完了した後、対策が有効に機能しているかを確認する再テストを1回まで標準サービスの一環として実施いたします。


Page Top

Copyright © CyberCrew inc. All rights reserved.