Execution Context
この機能は、構造化されたペネトレーションテスト手法を用いて、脆弱性の特定に特化しています。特定のアプリケーション層を対象とし、本番環境の安定性を損なうことなく、攻撃可能な脆弱性を発見します。このプロセスでは、実際の攻撃をシミュレーションすることでセキュリティ対策の有効性を検証し、業界標準への準拠を確保するとともに、ソフトウェア開発ライフサイクル全体におけるデータ漏洩のリスクを低減します。
初期段階では、特定された攻撃経路とシステムアーキテクチャに基づいて、テストの範囲を定義します。
ペネトレーションテスターは、自動化されたスキャンと手動による調査を実施し、悪意のある攻撃者が侵入する可能性のある箇所を特定します。
最終検証により、すべての重大な脆弱性が修正済み、または適切なリスク軽減策が講じられた上で是正済みであることが確認されました。
Operating Checklist
範囲を定義し、適切なペネトレーションテストのフレームワークを選択する。
アプリケーションの全てのレイヤーに対して、自動脆弱性スキャンを実行します。
重要なセキュリティ制御の有効性を検証するために、手動による脆弱性検証を実施する。
調査結果を記録し、優先度の高い問題に対する是正措置が実施されたことを確認する。
Integration Surfaces
脆弱性スキャン
自動化されたツールが、コードリポジトリおよび稼働中のインスタンスをスキャンし、既知の脆弱性パターンを検出します。
手動による脆弱性攻撃.
セキュリティテスターは、セキュリティ対策の有効性を検証するために、手動で制御を回避しようと試みます。
是正措置の検証
適用されたパッチが、特定されたセキュリティ上の脆弱性を正常に解消していることを、事後スキャンによって確認しました。
