スキャナーでは見つからない脆弱性まで発見するペネトレーションテスト。
SubRosaは、ネットワーク、アプリケーション、インフラに潜む脆弱性を、攻撃者に悪用される前に発見し、その解消までを支援するペネトレーションテストの専門企業です。単発のテストとして、あるいはサービスとして継続提供するペネトレーションテスト (PTaaS) として、どちらにも対応します。
ネットワーク · アプリケーション · ワイヤレス · 物理 · ソーシャル · レッドチーム · AI
あらゆる攻撃ベクトルを横断する包括的テスト。
ネットワークインフラから Web アプリケーションまで、当社チームはあらゆる潜在的な攻撃対象領域にわたって徹底したペネトレーションテストを提供します。
ネットワークペネトレーションテスト
攻撃者に悪用される前に、ネットワークインフラ、ファイアウォール、内部システムの脆弱性を特定します。
詳しく見る→アプリケーションセキュリティテスト
Web・モバイルアプリの包括的なテストで、SQL インジェクション、XSS、認証の不備、ビジネスロジックの脆弱性を明らかにします。
詳しく見る→ソーシャルエンジニアリング
フィッシングキャンペーン、ビッシング、プリテキスティングでチームの意識をテストし、人的な脆弱性を特定します。
詳しく見る→ワイヤレスペネトレーションテスト
ワイヤレスネットワークのセキュリティを評価し、不正アクセスポイントを特定し、暗号化の実装をテストします。
詳しく見る→物理ペネトレーションテスト
アクセスバッジ、錠、監視システム、現地でのソーシャルエンジニアリングなど、物理的なセキュリティコントロールを評価します。
詳しく見る→レッドチーム評価
複数の攻撃ベクトルを組み合わせたフルスペクトルの敵対者シミュレーションで、総合的なセキュリティ態勢とインシデント対応をテストします。
詳しく見る→LLM・AI レッドチーム
大規模言語モデルと AI システムに特化した敵対的テスト、プロンプトインジェクション、ジェイルブレイク、学習データの漏えい、そして AI に固有の障害モード。
誰かに先を越される前に侵入口を見つける。
攻撃者に必要なのはたった1つの隙です。ペネトレーションテストは、ネットワーク、アプリ、クラウドにわたる悪用可能な弱点を、まだ塞ぐ時間があるうちに、スキャナーのノイズではなく実際のリスクで順位付けして、浮かび上がらせます。
- 01Recon
Exposed admin portal found via OSINT
- 02Foothold
Default credentials on the VPN gateway
- 03Lateral movement
Reused service-account password
- 04Domain adminCritical
Full domain compromise in two days
監査を通過し、コントロールを証明する。
SOC 2、ISO 27001、PCI DSS、HIPAA はいずれも、定期的で独立したテストを求めます。私たちはすべての発見事項を、それが影響するコントロールにマッピングするので、監査人に問われたとき、前週に慌ててかき集めるのではなく、証跡がすでに整っています。
- SOC 2CC4.1 · Control monitoring
- ISO 27001A.12.6 · Technical vulnerability mgmt
- PCI DSSReq. 11.3 · Penetration testing
- HIPAA§164.308 · Risk assessment
侵害はテストよりはるかに高くつく。
侵害の影響は、目先の後始末をはるかに超えて広がります、ダウンタイム、法的リスク、顧客離れ、ブランドの毀損。プロアクティブなテストはそれに比べれば誤差のような費用であり、欠陥を自分の都合で見つけるか、相手の都合で見つけられるかの分かれ目になります。
Breach figure: IBM Cost of a Data Breach, 2024
攻撃者の思考でテストする。
敵対者のように考える
私たちのチームはただスキャンを走らせるだけではありません。攻撃的セキュリティ、インシデント対応、脅威ハンティングの経歴を持ち、自動ツールが見逃すものを見つけ出します。
攻撃者の動き方でテストする
コンプライアンスフレームワークが示すチェックリストだけでなく、実際の攻撃経路と連鎖した悪用を再現します。
ビジネスリスクを説明する
すべての発見事項に、想定される金銭的影響、コンプライアンス上の意味合い、そして明確で戦略的な推奨事項を添えます。
最後までやり遂げる
テストは始まりにすぎません。修復を通じてあなたのチームと協働し、概念実証パッチを提供し、修正が持ちこたえることを再テストで確認します。
あなたのペンテストはレポートで終わらない。
検出されたすべての脆弱性はSableに集約されます。担当者を割り当て、修正の進捗を追跡し、再テストで対策が確実に機能していることを確認します。これにより、特定時点のテストは、チームが日々使うプラットフォーム上で継続的な可視性を提供するサービスとしてのペネトレーションテスト (PTaaS) へと進化します。納品した瞬間に古びていく静的なPDFではありません。