ペネトレーション テストでは、熟練したセキュリティ専門家がハッカーの行動をシミュレートし、潜在的に悪用可能な脆弱性を発見します。コーディング エラー、設定上の欠陥、またはその他の配備面での弱点に起因する潜在的な脆弱性が明らかになるペネトレーション テストは、多種多様な脆弱性を発見することで知られています。
Zensai プラットフォームで新たに発見された、また既知の脆弱性や弱点を検出するため、さまざまなタイプのペネトレーション テストの手法を用いています。
ここでは、Zensai が採用しているペネトレーション テストの手法についてご説明します。
動的アプリケーションセキュリティテスト(DAST)
Veracode Dynamic Analysisは、動的アプリケーションセキュリティテスト(DAST)ソリューションであり、品質保証(QA)プロセスにおいて、Zensai アプリケーションとその基礎となる Web アプリケーションの自動侵入テストに使用されます。
このテストは、悪用可能な脆弱性を早期に発見する助けとなり、更新プログラムがステージング環境に送り込まれ、その後本番環境へ入る前に潜在的な問題に対処することを可能にしています。
第三者による侵入テスト
Zensai は、Microsoft が任命した会社によって、最低でも年に1度は侵入テストを実施しています。
Zensai における侵入テストは Learn365、Perform365、Engage365 アプリケーションに限定されておりで、Microsoft がAzureプラットフォームで実施している侵入テストについてもご確認ください。
第三者による侵入テストは、Zensai プラットフォームの改善につながり、セキュリティ コントロールの強化、新たなセキュリティ コントロールの導入、セキュリティ プロセスの改善などの行動の指針になります。
第三者による最新の侵入テストの要約
概要:
弊社の評価は、Learn365、Perform365、Engage365 アプリケーションは高度なセキュリティで実装されており、顧客データやバックエンド システムへのアクセスに利用される可能性のある既知の脆弱性は一切含まれておりません。
Learn365、Perform365、Engage365 アプリケーションは、Microsoft Office 365 および Azure プラットフォームと高度に統合されているため、認証および承認スキームを含むいくつかの主要なセキュリティ機能は、このプラットフォームから継承されています。そのため、このテストの焦点は、Learn365、Perform365、Engage365 のユーザーが利用できる Office 365以外の機能に限定されており、アプリケーションの範囲を最大限に確保し、標準の Microsoft プラットフォーム自体の範囲を小さくしています。
特筆すべきは、テスト中、Zensai は非常に応答が良く、観察力に優れていたため、セットアップと設計の選択についてよく理解することができました。
また、テスト中に行われたいくつかの初歩的な見解と、それがスコープ内(Learn365、Perform365、Engage365)なのかスコープ外(Microsoft の標準機能)なのかについての対話もできました。
主な調査結果:
テスト中、高度に深刻な脆弱性は検出されませんでした。