ペネトレーションテストができる会社一覧

実際のサイバー攻撃と同等の疑似攻撃を仕掛けることで、システム全体のセキュリティレベルを評価。シナリオに対する評価結果や、シナリオに対する侵入プロセスごとの評価、プロセスごとの実施結果などを取りまとめて報告してくれます。

Cyber Kill Chain および MITRE の ATT&CKをベースにシナリオを立案。「標的型メール攻撃による不正侵入」「公開システムに対する不正侵入」「（不正侵入後の）内部システムにおける侵入拡大」など、企業の実情に合わせた内容を提案してくれます。

攻撃能力が高い専門のセキュリティエンジニアが、システム内の悪用可能な脆弱性や設計の不備などを狙うことで、精度の高いペネトレーションテストを実施。システムの脆弱性だけでなく、人や組織から生まれる脆弱性まで検知してくれます。

事前のヒアリングで企業の要望や必要性を把握し、適切なテストプランを提案。ブラックボックステストやホワイトボックステスト、システムの外部（内部）を攻撃起点としたテストなど、形態や手法を駆使した柔軟なテストを実施しています。

高度なセキュリティ技術を有するエンジニア・ハッカー集団が一丸となり、高い品質、ユニークな発想、アグレッシブなアプローチのサービスを提供しています。官公庁、重要インフラ、有名企業の案件をいくつも手掛けるなど実績豊富です。

ペネトレーションテストの特徴は、本物の攻撃に限りなく近い実戦性。ホスト単体へのテストや、パッケージ化・自動化されたツールでの簡易的なテストとは違い、リアルなアプローチで、脆弱性の発見だけでない本当の脅威を明らかにしてくれます。

脅威動向の調査活動に精通したコンサルタントが、企業のネットワーク構成やシステム、業務環境、重要情報の取り扱いなどについて丁寧にヒアリング。これまでのセキュリティ対策状況も踏まえ、攻撃者目線で戦略を検討した上でテストを行っています。

2011年から脅威ベースのアセスメントサービスを提供し、蓄積してきたサービス提供ノウハウが豊富。研究開発センターで高度な脅威分析や技術リサーチを行うなど、業界をリードする解析力やリサーチ力が強みです。

業界固有のリスクや攻撃のトレンド、各業界で実際に起きた攻撃の事例や法規制などをもとに、リアリティのあるシナリオを策定。対象システムや環境・構成を公正に評価し、テストを行うことで、より精度の高い検証を実現しています。

システムの停止による被害や情報漏えいによるレピュテーションリスク、補償費用など、攻撃や侵入を許した場合の影響も測定。その上で、攻撃の影響を抑え、回復へと導く改善事項も日本語でタイムリーに提供してくれるので安心です。

「インターネット経由で外部公開サーバへ侵入する」「特定の外部公開サーバへ侵入し、機密情報を窃取する」などシナリオを設定し、テストを実施。シナリオは、お客様の要望や課題、問題に合わせて柔軟に策定することも可能です。

経験豊富なセキュリティエンジニアが、ハッキングのツールや技術を駆使してテストを実施。ゴール達成の成否、手法、脆弱性、対策案などを報告書してくれます。要望によってはテスト結果の報告会も開催してくれるので安心です。

ネットワークやシステムの構成、重要情報の取り扱いなどについて、セキュリティコンサルタントがヒアリングを行った上で、攻撃者目線で侵入シナリオを作成。システムに対する具体的なセキュリティリスクを可視化してくれます。

テストは、厳格な国際基準であるNIST SP 800-115に基づいて行われ、セキュリティ対策の目標が十分に達成されているかを客観的に判断することが可能です。料金は1,000,000円～で、リスクの可視化から対策まで具体的に提案してくれるので安心です。

サイバー保険の引き受けなどを通して培ってきたリスクアセスメントのノウハウや、インシデントの際の初動支援サービス、イスラエルに設置されたSOMPO DIGITAL Labとの連携など、独自の価値を通してサイバーセキュリティを提供しています。

ペネトレーションテストでは、さまざまな視点から疑似攻撃を実施。企業の環境に合わせたシナリオをもとに、外部もしくは内部からの侵入テストを行い、IT資産からどこまで情報を持ち出すことができるかなどを検証します。

高い倫理性と高いハッキング技術を持つセキュリティエンジニアが手動でテストを実施。金融機関から政府機関、大手企業など、さまざまなシステムの脆弱性の発見や対策を提案するなど、実績も豊富です。

犯罪者の心理まで読み解き再現することで、より実践的なテストを実施。外部／内部、PCI DSS向け（ネットワーク、アプリケーション）、組込みシステム向けなど、目的や用途に合わせて行うことが可能です。

経験豊富な技術者が、お客さま企業の環境のヒアリングを行った上で、システムの検査を実施。検査後は報告会を実施し、検査結果と対策案を提案してくれるので、システムのセキュリティレベル向上に役立てることが可能です。

ECサイト、会員向けサービスなど、企業の業務内容によってシステムの目的、要件はさまざまです。株式会社アズジェントでは、システム環境やビジネス要件にあわせて柔軟に対応。適切な最適な調査検証方法を提案してくれます。

調査・攻撃・達成を1サイクルと考えテストを実施しています。サイトの大小に関係なく、機能レベルなどからリスクを評価。リスクの高い箇所だけを選定して侵入テストを行うことで、品質を維持したままリーズナブルな価格を実現しています。

単純に「攻撃をして成功させる」のではなく、お客様企業にとって「どんな攻撃がリスクが大きいか？」を想定して攻撃目標に設定。エンジニアが討議を行い、よりインパクトの大きい攻撃シナリオに基づいて達成を目指してくれます。

特定のベンダーに捉われないベンダーフリーの企業として、第三者的な視点で、企業のリスクマネジメントをサポートしています。単純なパッケージサービスではなく、一社ごとの要望や状況に合わせたサービスを提供しているのが特徴です。

ペネトレーションテストでは、情報セキュリティ・ITセキュリティの各分野に精通したエキスパートが、実際のサイバー攻撃を模擬し、攻撃に対する耐性を評価。また、システムの脆弱性を突くだけでなく、総当たり攻撃などに対する評価も行ってくれます。

NTT データグループで保有する知見や、実際に起きているインシデント事例などをもとに攻撃シナリオを作成。NTT データ先端技術が持つ長年のノウハウを活用して攻撃を行い、今現在のセキュリティ対策が有効に機能しているかを評価します。

サイバー攻撃を再現する「レッドチーム」、お客さま企業で組織する「ブルーチーム」、実施体制や日程調整などを行う「ホワイトチーム」を組織。TLPT の実施を通してサイバーレジリエンス強度を評価し、今後の戦略や方針を提案してくれます。

技術力と豊富な経験を持つ専任の技術者がテストを担当。ヒアリングをもとに企業の環境に合わせたテストを行ってくれる上、攻撃者がよく狙う新しい脆弱性など、先進の攻撃手法に対応したテストも行ってくれます。

時間をかけ深く広く行うテストはもちろん、短期間でポイントだけを押さえたテストなど、費用対効果の高いサービスを提供しています。安心感のあるサービスを重視しており、経営層への報告や対策のアドバイスなどのサポートも充実しています。

「Webアプリケーション脆弱性診断」「スマートフォンアプリ脆弱性診断」「プラットフォーム脆弱性診断」「IoT機器脆弱性診断」の4つのメニュー提供。ハイレベルな診断技術を持つセキュリティエンジニアが診断を実施してくれます。

「マルウェア感染シナリオ」「外部公開リソース侵入シナリオ」といったシナリオに基づき、ホワイトハッカーが模擬攻撃を行います。必要に応じて、セキュリティ対策の協議やセキュリティ機器のログを確認する対応も選択可能です（オプション）。

高度なセキュリティ技術を有するエンジニア・ハッカー集団が一丸となり、高い品質、ユニークな発想、アグレッシブなアプローチのサービスを提供しています。官公庁、重要インフラ、有名企業の案件をいくつも手掛けるなど実績豊富です。

ペネトレーションテストの特徴は、本物の攻撃に限りなく近い実戦性。ホスト単体へのテストや、パッケージ化・自動化されたツールでの簡易的なテストとは違い、リアルなアプローチで、脆弱性の発見だけでない本当の脅威を明らかにしてくれます。

一般的な企業システムやネットワークシステム向けの「プロフェッショナル ペネストレーションテスト」では、「インターネット経由での侵入」「内部ネットワークからの侵入」など、シナリオをもとに疑似攻撃を行いながら、侵入可否を調査します。

「Active Directory ペネトレーションテスト」「PCI DSS ペネトレーションテスト」など、専門領域に特化したペネトレーションテストメニューも提供。それぞれ、求められるセキュリティ要件に対応したテストサービスを提供しています。

世界レベルで実績豊富なホワイトハッカー集団「Nullit（ナルト）」によるペネトレーションテストを提供。情報漏洩などの可能性を3日で簡単診断できる「スマートスキャン」と、より精密な診断を行う「ディープスキャン」の2タイプから選べます。

費用は40万円※（税不明・初回利用キャンペーン適用で20万円）からと非常にリーズナブル。MTGや重厚レポートをなくし、実際のテストとシンプルなレポートだけにすることで、低価格を実現しています。最短5日※でテストを開始できる点もポイントです。

※参照元：シースリーレーヴ株式会社（https://www.c3reve.co.jp/post/penetrationtest-company-select）

経産省の審査認証事業者であり、対応者全員が認定脆弱性診断士の資格を保持。安定した品質のサービスを提供しています。テストだけでなく、テスト結果に基づく修正方法のコンサルティングやセキュリティ製品の導入支援なども行ってくれるので安心です。

テストでは、ツールと手動の良いとこ取りでハイブリッドな手法を採用。ツール診断では誤検知・過剰検出の多さが指摘されていますが、セキュリティエンジニアが検出結果の確認・検証を行い、検知漏れや誤検出を抑え、信頼性の高いチェックを実現してくれます。

リスクベース、あるいはシナリオベースのペネトレーションテストを実施。ホワイトハッカーが安全な方法で実際に攻撃を行い、脆弱性診断では発見できない、企業固有のビジネスリスクに対する攻撃経路を洗い出し、対策を検討します。

他社と異なる点は、実際に攻撃を行ったペンテスター自身が対策実施支援まで行ってくれる点。世界レベルの認定ペンテスターが、ベンダーニュートラルな視点でサポートしてくれます。また、中間業者を通さず、低コストを実現している点も魅力です。

ペネトレーションテストでは、自社開発した多数のツールを利用。一般的な海外ツールを利用すると、英語圏のシステムや利用者が対象になるため、日本語の単語やリストを作成してテストを行っています。これにより、高い確率で疑似攻撃に成功しています。

民間企業や中央官庁、地方自治体、独立行政法人などで100件以上※の検査実績を持つ技術者が検査を担当。脆弱性スキャナによる検査だけでなく、手作業による検査も行い、脆弱性スキャナでは発見できない複合的な問題も検出してくれます。

※参照元：株式会社ファイブドライブ（https://www.fivedrive.jp/diagnosis-penetration/penetration/）

ホワイトハッカーのコンサルタントチームが質の高いペネトレーションテストを行うSpirent社のサービスを提供しています。組込み機器の持つさまざまなインターフェースのほか、産業用プロトコルやウェブアプリケーションなどにも対応しています。

再テストを受けられる点も特徴です。ペネトレーションテストは本来、テストを行うだけでなく、見つかった脆弱性や脅威へ対策を行い、それらが機能しているかの検証まで行うべきもの。Spirentなら、再テストで修正が機能しているかを確認することが可能です。

2007年の設立以来培ってきた技術とノウハウを集結し、お客さまの環境・資産に合った適切なシナリオを抽出。OSCPやOSWP、GIAC、CEHなどの資格保有者が、スピーディかつ広範囲をカバーしたペネトレーションテストを行ってくれます。

企業ごとに脅威を分析し、個別にカスタマイズしたシナリオに基づくテストを行うペネトレーションテスト（TLPT）をはじめ、リモートワーク環境に対するペネトレーションテスト、外部ペネトレーションテスト （お客様指定シナリオのみ）の3種類のテストを提供しています。

サイバー攻撃を知り尽くしたセキュリティプロフェッショナルが、マルウェア感染端末・テレワーク環境・委託先環境などさまざまな侵入経路に疑似攻撃を仕掛け、システムの弱点や対策の有効性を洗い出してくれます。

侵入に成功した場合は、「どこまで侵入できるか」「どんな情報を持ち出せるか」を診断する情報システムペネトレーションテストを実施。攻撃に対する問題点を分析し、具体的かつ分かりやすく報告をしてくれます。価格は700万円～1000万円程です。

対象システムに対するWebアプリケーション脆弱性診断やプラットフォーム診断が標準で付属。独自のAIエンジンを活用した脆弱性探査ツールで脆弱性診断を行った上で、経験豊富な診断エンジニアがシステムへの侵入を行ってくれます。

テスト実施後、1年間、再診断を利用できる点も魅力的。再診断の結果、指摘項目の修正が不十分と判明した場合は、追加料金なしで何度でも再診断を行うことができます。事前情報を得ずに行うブラックボックステストも対応可能です。

数多くの案件を通じて得たノウハウと、効率的・精密に調査をするスキルが強みです。ペネトレーションテストでは、実用性の高い攻撃コードを収集・実証し、自社の独自ツールに組み込むことで、安全で精度の高いテストを実施しています。

未知の脆弱性を発見するスキルを持ったセキュリティエンジニアが多数在籍。実際に、JPCERT/CC と IPA が共同で運営する JVN（Japan Vulnerability Notes）への脆弱性報告の公表では、新たな脆弱性(0day)を累計200件以上※も報告しています。

※参照元：三井物産セキュアディレクション株式会社（https://www.mbsd.jp/solutions/assessment/penetration/）

ペネトレーションテストを全自動で実施する検査プラットフォーム「PenTera（ペンテラ）」を提供。手動では膨大な時間が掛かる検査を自動化することで、セキュリティに対して十分な工数を割けるようサポートしています。

従来のペネトレーションテストツールとは異なり、企業や組織のIT管理者が容易に使用できるよう設計されています。結果も分かりやすく表示される上、対処すべき事項を優先順位付けして処方箋まで提示してくれるので、効果的な対処が可能です。

業界をリードする米国Spirent Communications社のペネトレーションテストサービス（侵入テスト）「Spirent SecurityLabs」を提供。NW機器ベンダーやデバイスベンダー、政府機関、金融機関、大手エンタープライズなど業種を問わず提供実績豊富です。

攻撃者の行動をシミュレートしペネトレーションテストを行うソフトウエア「Metasploit」も提供しています。セキュリティ専門家から初心者まで、誰でもペネトレーションテストを自動で行うことが可能。セキュリティ対策の検証をサポートするツールです。

動作中のWebアプリケーションやWebサービスの脆弱性を、ソースコードなしで体系的に見つけ出せる「マネージド・ペネトレーション・テスト」を提供。リソース不足によりアプリケーションテストが行えない悩みも解消することが可能です。

オンデマンドのポータルでサービスの管理も簡単です。テスト評価は複数の深度から適切なものを選べる上、テストのスケジュール設定や業務要件の変化、脅威の進化に応じた変更なども柔軟に行うことができます。

AIによる機械学習で「品質」「スピード」「コスト競争力」を兼ね備えた診断が行えるセキュリティ検査プラットフォーム「ImmuniWeb AI Platform」と、セキュリティエンジニアによる診断を併用したテストを行います。

日々巧妙化していく標的型サイバー攻撃、不正アクセス、情報漏洩などの脅威から情報資産を守るため、ペネトレーションテストだけでない、組織の外部から内部までの対策を提供。ワンストップでセキュリティサービスを提供しています。