ペンテストと攻撃的監査
私たちは 攻撃者のように考えます。 あなたが受けないように。
Web、モバイル、API、クラウド、インフラのペンテスト。OWASP と PTES 方法論、exploit で証明された発見、CVSS スコア付きレポート、優先順位付けされた修復計画。修正後の再テスト含む。
- OWASP Top 10 と ASVS
- PTES と OSSTMM
- exploit の証拠を含む
- 修復後の無料再テスト
スコープ
私たちが実際にテストするもの。
「監査」と再ブランド化された自動スキャナーはありません。各案件で工業用ツールと重要領域の手動専門知識を組み合わせます。
Web アプリペンテスト
完全な OWASP Top 10、broken auth、IDOR、SSRF、XSS、デシリアライゼーション。Black/grey/white-box。
モバイルペンテスト(iOS と Android)
リバースエンジニアリング、jailbreak 検出バイパス、証明書ピンニング、ローカルストレージ、API。OWASP MASVS。
API とマイクロサービスのペンテスト
REST、GraphQL、gRPC。認証、レート制限、BOLA/BFLA。OWASP API Security Top 10。
インフラとクラウドのペンテスト
AWS、GCP、Azure:IAM、CIS 構成、ネットワークセグメンテーション、露出シークレット。内部および外部監査。
Red Team とソーシャルエンジニアリング
標的型フィッシングキャンペーン、OSINT、模擬物理的侵入。検出をテストしたい成熟した企業向け。
IoT と組み込みペンテスト
ファームウェア解析、ハードウェアリバース、独自プロトコル、BLE、MQTT。IoT および産業機器向け。
方法論
5 段階、追跡可能。
すべての案件は PTES に従います。私たちがいつどこにいるかを常に知り、重要な発見をリアルタイムで受け取ります。
事前エンゲージメント
スコープ定義、エンゲージメントルール、テストウィンドウ、緊急連絡先。アクセス前に NDA に署名。
偵察とマッピング
OSINT、列挙、フィンガープリンティング。エクスプロイトの試みの前に攻撃面を完全マッピング。
Exploitation
手動の試行 + ツール(Burp Suite Pro、Metasploit、カスタムスクリプト)。すべての脆弱性を再現可能な exploit で証明。
レポート作成
リーダーシップ向けエグゼクティブサマリー(1 ページ)+ 詳細技術レポート。CVSS 3.1、影響、コスト化された修復。
修復後の再テスト
30 日以内に重要および高い脆弱性が効果的に閉じられたことを再検証。すべてのパッケージに含まれます。
成果物
受け取るもの。
エグゼクティブサマリー(1 ページ)
リーダーシップ、ボード、サイバー保険向けの非技術的概要。主要なリスク、全体スコア、トップの推奨事項。
詳細技術レポート
案件によって 20〜80 ページ。各発見:説明、証拠、CVSS 3.1、影響、修復、CWE/CVE。
口頭デブリーフ
ビデオまたはオンサイトでの 1〜2 時間のセッション。質問に答え、一緒に優先順位を付けます。
コスト化された修復計画
各脆弱性について推定工数、影響 × 確率、優先順位。直接実行可能なロードマップ。
ペンテスト証明書
顧客、パートナー、ISO/SOC 認証、サイバー保険向けの署名済み文書。技術的詳細を開示せずに。
無料再テスト(30 日)
30 日以内に重要な発見が効果的に修正されたことを再検証。請求する追加月はありません。
料金
プロジェクトはそれぞれ違います。見積もりも。
抽象的なパッケージではなく、お客様のコンテキスト(範囲、複雑性、期限、制約)に合わせて見積もります。やりたいことを3文でお書きください — 48営業時間以内に確定見積もりをお返しします。
48営業時間以内に返答 見積もりを依頼 →