ペネトレーション テストでは、熟練したセキュリティ専門家がハッカーの行動をシミュレートし、潜在的に悪用可能な脆弱性を発見します。コーディング エラー、設定上の欠陥、またはその他の配備面での弱点に起因する潜在的な脆弱性が明らかになるペネトレーション テストは、多種多様な脆弱性を発見することで知られています。
ELEARNINFORCEは、LMS365プラットフォームで新たに発見された、また既知の脆弱性や弱点を検出するため、さまざまなタイプのペネトレーション テストの手法を用いています。
ここでは、LMS365が採用しているペネトレーション テストの手法についてご説明します。
動的アプリケーションセキュリティテスト(DAST)
Veracode Dynamic Analysisは、動的アプリケーションセキュリティテスト(DAST)ソリューションであり、品質保証(QA)プロセスにおいて、LMS365アプリケーションおよび基礎となる Web アプリケーションの自動侵入テストに使用されます。
このテストは、悪用可能な脆弱性を早期に発見する助けとなり、更新プログラムがステージング環境に送り込まれ、その後本番環境へ入る前に潜在的な問題に対処することを可能にしています。
第三者による侵入テスト
LMS365 に対する侵入テストは、Microsoft が任命した会社によって最低でも年に 1 度は実施されます。
LMS365 の侵入テストは LMS365 アプリケーションに限定されていますので、Microsoft がAzureプラットフォームで実施している侵入テストについてもご確認ください。
第三者による侵入テストは、LMS365 プラットフォームの改善につながり、セキュリティコントロールの強化、新たなセキュリティコントロールの導入、セキュリティプロセスの改善などの行動の指針になります。
第三者による最新の侵入テストの要約
概要:
弊社の評価では、LMS365 アプリケーションは高度なセキュリティで実装されており、お客様データやバックエンドシステムにアクセスするために利用できる既知の脆弱性は含まれていません。
LMS365 アプリケーションは Microsoft Office 365 および Azure プラットフォームと高度に統合されているため、認証、および承認スキームを含むいくつかの主要なセキュリティ機能は、このプラットフォームから継承されています。
したがって、テストの焦点は、LMS365 アプリケーションを最大限にカバーするために、標準的な Microsoft のプラットフォーム自体は最小限に抑え、LMS365 のユーザーが利用可能な Office 365 以外の機能に絞られました。
特筆すべきは、テスト中、ELEARNINGFORCEは非常に応答が良く、観察力に優れていたため、セットアップと設計の選択についてよく理解することができました。
また、テスト中に行われたいくつかの初歩的な見解と、それがスコープ内(LMS365)なのかスコープ外(マイクロソフトの標準機能)なのかについての対話もできました。
主な調査結果:
テスト中、高度に深刻な脆弱性は検出されませんでした。