ペネトレーションツール Penetratorのご案内です。

1. SecPoint脆弱性検査ツール
（ペネトレーションツール）
ブルースター株式会社
Copyright © 2015 Bluestar Corporation. 1

2. 北欧製脆弱性検査ツール／アプライアンス
WEBサービス、社内ネットワーク、Wifiの脆弱性を手動・定期的に検査することができ
るソフトウェア・アプライアンス。
• ファイヤウオール、ルータ、WEBサーバ、ＤＢサーバ、WordPress、メールサーバ、
各プラットフォームのパソコン、プリンタ、モバイルデバイス等への脆弱性を診断
• 6万件強の脆弱性情報をもとに診断。毎月平均500件を追加
主要脆弱性情報元：Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB
• 700以上の実際のエクスプロイトを実行可能
• 新たな攻撃手法はシグネチャにて提供
• 診断項目はプルダウンで指定可能で使いやすい
• PDF､XMLによるレポート生成機能(英語だけど）
• WEPの暗号キーを解読可能。WPA2はリストとランダム生成にて解読可能かを調査可
能。暗号キー強化の必要性有無を診断可能
• DoSとDDoS攻撃のエミュレーション機能
• Windows/Mac/Linux/vmware/Hyper-Vと、アプライアンスをご用意
• 同時利用IP数(同時検査稼動セッション)によるわかりやすいプライシング
• 1年と３年の利用権で販売
Copyright © 2015 Bluestar Corporation.
2

3. 検査可能な○と×
検査可能なもの
• WEBサービスなどのDMZセグメントに配置されたサーバ
• 社内利用端末や社内サーバ
• 社内のSIP電話機、プリンター、ルーター、複合機などのネットワーク機器
• 社外からルーター、ファイアウオール、プロキシサーバー等
• 社内利用パソコンへの外部からの浸入
• Wi-Fi通信方法における脆弱性
• パソコンのブラウザやアプリに起因する脆弱性 (エクスプロイトツール)
検査不可能なもの
• スマートフォンのアプリプリケーションがもつ脆弱性
• 某国諜報機関が仕掛けたルーター装置へのルート権限バックドアの発見
• 全く未知の脆弱性
• TCP/IP通信を伴わないもの
• 脆弱性をついた攻撃を断続的に行うと対象アドレスからのアクセスを一時的に
拒否する装置を装着している場合
• EC CUBE等の日本ローカルなオープンソースソフトウェア
Copyright © 2015 Bluestar Corporation.
3

4. 使いやすいユーザインターフェース
日本人にも扱い易いユーザインターフェース
• スケジュールを指定し定期的に監査を実施
Copyright © 2015 Bluestar Corporation.
4

5. スキャン指定画面
フルスキャン、OWASP Top10、PCI DSS監査基準、HIPAA法準拠、ファイアウ
オール用などを必要に応じてプルダン選択し実行。使いやすい！
Copyright © 2015 Bluestar Corporation.
5

6. Wi-Fi暗号キー脆弱性検査
Wi-Fiはビルなど施設内に侵入しなくても屋外か
ら社内ネットワークへ侵入が可能であるため、
暗号キーの脆弱性検査は非常に重要です。
スーパー、百貨店、空港、役所などは特に重要
１2億件弱のキーリストでアタック可能です。
暗号キーを失念した企業へのサービスとしても活用されています。
Realtek RTL8187L,
Ralink(MediaTek) RT3572,RT2770
Atheros AR9271
を使用した無線LAN子機のドライバ
が標準搭載されています。
ONKYO UWF-1で動作確認済
Copyright © 2015 Bluestar Corporation.
6

7. 用途別組み合わせ例
WEBなど外部から脆弱性診断 WEBなど外部から脆弱性診断 WiFi脆弱性検査や可搬利用
• Linux組込型機器の脆弱性診断を
自社で行いたい製造業様
• 顧客企業のLANセグメントからの
脆弱性検査を行いたい
• 顧客企業のルータ自身の脆弱性検
査を行いたい
• 脆弱性検査には長時間を要するた
め専用パソコンの導入を推奨
• アプライアンス版のPenetratorは、
同時に複数IPアドレスを診断する
ことができるため、効率的な診断
が可能
• 自社でLinux組込型機器の脆弱性診
断を頻繁に行いたい企業様
• 操作はPCからネットワーク経由で
ウェブブラウザにて行う
• vmware ESX, Hyper-V版もご用意
• 契約だけで即利用開始可能
• クラウド版のPenetratorは、同時に
複数IPアドレスを診断することが
できるため、効率的な診断が可能
• 自社で機器を管理せず、脆弱性を
インターネット越しで利用したい
企業に最適
Wifi脆弱性検査専用
無線LANモジュール
(ONKYO UWF-1)
Wifi脆弱性診断を行う場合には、
クアッドコアのCore i5/i7を推奨
(SSDドライブ必須)
Copyright © 2015 Bluestar Corporation.
7

8. 機能詳細
●セキュリティ監査機能
・脆弱性診断
・6万件強の脆弱性情報
・数量無制限の監査
・豊富な監査オプション
・700以上の実際のエクスプロイトを起動
・全てのOSのセキュリティ監査
・自動ウェブクロールのスクリプト
・OSに依存しない操作画面
・SANS Top 20
・マルウェア検知
●簡単なレポート出力
・XML、PDFやHTML形式のレポート出力
・自社ロゴをいれてのレポート生成機能
・syslog遠隔ログ機能
●セキュリティ監査
・遠隔地のセキュリティ監査を集中管理
・集中管理による包括レポート
・集中管理によるデータ保管
・集中管理制御で包括管理
●セキュリティ監査設定
・仮想ホスト監査
・特定ポート監査
・特定URL監査
・レポート生成時にメール通知
●脆弱性情報主要収集元
・Bugtraq ID / Mitre CVE / Ubuntu USN /Microsoft / OSBDB
●特定アプリの脆弱性診断
・Wordpress, Drupal, Magento, Shopify, Umraco, Joomla, Webshops等
●クロスサイトスクリプティングやＳＱＬインジェクション等
・自動的にウェブページをクロールしての診断
・クロスサイトスクリプティング検知(XSS)
・ＳＱＬインジェクション検知
・ウェブエラー検知
・ブラックハットＳＥＯ検知
・グーグルハックＤＢ検知
●WiFi脆弱性診断
・WEP,WPA, WPA2の脆弱性診断
・WPSを用いたクラック
・WEP暗号解除クラック
・11億件の暗号キーリストを用いた攻撃
●マルチユーザサポート
・マルチユーザ同一接続機能
・ユーザ毎の異なる監査オプションと同時利用IP数指定
・ユーザ毎の異なるセキュリティレベル
・管理者とユーザ権限の設定
●スケジュール実行監査
・定期的な監査実行
・新たな脆弱性発見時のアラート機能
・新規脆弱性発見時に古い脆弱性と比較しセキュリティレベルの差を警告
●アップグレードが可能なスケーラビリティ
・ソフトウェアライセンスにてアップグレードが可能
・初期投資を最小限に抑制
●脆弱性診断
・実際のエクスプロイトを起動して、Windows、Unix，ルータや
ファイアウオール等の診断を実施
・DoS攻撃を実施
・DDoS攻撃を実施（要攻撃機）
●自動更新で常に最新
・毎日のシグネチャ自動更新機能で常に最新
・自動ファームウェア更新機能
・アップデート機能の集中管理
・ライセンス有効期限が切れていた場合の警告機能
・WebUIによる管理画面でのマニュアル適用
●サポートとメンテナンス
・1年間か３年間のサブスクリプションライセンス
・httpsによる管理インターフェース
・簡単なセットアップウイザード
・設定情報のバックアップ＆リストア
・syslog経由での警告電子メールとログ記録
・自己診断機能を内蔵
●主要脆弱性スキャン
WAS(Web Application Scanning)、Google Hack Database、Google Safe Browsing Checks、
Forum and 50 Other Black List checks 、Blackhat SEO Scanningなど
●セキュリティ診断プロファイル
・Quick Scan
・Quick Web Scan
・Normal Scan (1万件の推奨スキャン）
・Full Scan (6万件全リストによるスキャン)
・Firewall Scan (ファイアウオールへのスキャン)
・OWASP Top 10
・PCI DSS (クレジットカード情報を扱う上でのグローバルセキュリティ基準)
・HIPAA法 (医療保険の相互運用性と説明責任に関する法律)
・Agressive DoS
Copyright © 2015 Bluestar Corporation.
8

9. ライセンス購入ガイド
• 社内LAN (Class C)
• PCI DSS、HIPAA法に基づき社内LANの脆弱性検査を行う場合、Class CのIPアドレ
スの場合は256個のIPアドレスを調査します。
• 1 IPライセンスを購入した場合は、１台づつ調査されるため2時間×256台で、検
査に約500時間を要します。(Core i7パソコンの場合)
• 256 IPライセンスを購入した場合は、256台が同時に調査されるため、2時間で検
査が完了します。
• OWASP Top 10
• 1つのWEBサーバに対しては単一IPである可能性があるため、OWASP Top 10のプ
ロファイルに基づき、約3時間のスキャンで完了します。(Core i7の場合)
• DBサーバ、複数のサブドメインがある場合には、1IPライセンスを購入した場合
は、１台づつ調査され3時間×調査対象＝検査時間となります。
• WEBサービスへの脆弱性検査を事業とする場合には、同時スキャンIP数を複数個
持たれることをお勧めいたします。
• SIP電話機、ルータ、IoT端末
• フルスキャンを行うため１端末あたり約6時間を要します。複数台を同時に検査
する場合は、6時間×調査対象＝検査時間となります。多くの端末を調査する必
要がある場合には、同時実行が可能な複数IPライセンスのご購入をお勧めいたし
ます。
Copyright © 2015 Bluestar Corporation.
9

10. プライシング:脆弱性診断 Penetrator
【アプライアンス】（消費税別途：直販価格）
スモールファクタ(4 IP) 1年 193,000 3年 338,000
スモールファクタ(32 IP) 1年 440,000 3年 819,000
1U Rack mount(8 IP) 1年 399,000 3年 587,000
1U Rack mount(64 IP) 1年 683,000 3年 1,196,000
2U Rack mount(512 IP) 1年 1,647,000 3年 2,918,000
2U Rack mount(無制限) 1年 2,955,000 3年 5,272,000
【リニューアル】
4 IPライセンス 1年 132,000 3年 231,000
8 IP 1年 216,000 3年 384,000
32 IP 1年 390,000 3年 698,000
64 IP 1年 527,000 3年 941,000
512 IP 1年 1,278,000 3年 2,293,000
無制限 IP 1年 2,325,000 3年 4,178,000
Copyright © 2015 Bluestar Corporation.
10
※同時スキャンを行うIPアドレス数によるわかりやすい価格体系です。1年間利用と大変お得な３年の利用権で販売しております。
診断には時間を要するため、同時にライセンス数以上の複数サイトを診断しない限り、無制限にサイトを診断していただけます。

11. プライシング:ソフトウェア版 Portable Penetrator
Windows/Mac/Linuxのパソコンに導入して利用する可搬型のPenetratorです。
VMware player上にて稼動します。Wi-Fi脆弱性検査サービスにも活用できるモデルです。
VMware ESX, Hyper-V上で稼動させ顧客へ脆弱性検査クラウドサービスを提供可能です。
可搬型での利用の際は、別途Corei7クラスのパソコンが必要となります。
【初回パッケージ・VMwareイメージのDVD-ROM付】
1 IPライセンス 1年 64,000 3年 102,000
8 IP 1年 235,000 3年 409,000
32 IP 1年 418,000 3年 737,000
64 IP 1年 557,000 3年 992,000
512 IP 1年 1,349,000 3年 2,419,000
無制限 IP 1年 2,448,000 3年 4,394,000
【リニューアル】
1 IPライセンス 1年 54,000 3年 92,000
8 IP 1年 216,000 3年 384,000
32 IP 1年 390,000 3年 698,000
64 IP 1年 527,000 3年 941,000
512 IP 1年 1,278,000 3年 2,293,000
無制限 IP 1年 2,325,000 3年 4,178,000
Copyright © 2015 Bluestar Corporation.
11

12. プライシング:脆弱性診断 Cloud Penetrator
【契約だけで即利用可能なSaaS】
1 IPライセンス 1年 47,000 3年 84,000
8 IP 1年 235,000 3年 499,000
32 IP 1年 809,000 3年 1,581,000
64 IP 1年 1,524,000 3年 2,834,000
512 IP 1年 10,910,000 3年 16,577,000
Copyright © 2015 Bluestar Corporation.
12
※インターネット越しでのクラウドサービスとなるため、診断先にはWAN側より到達可
能である必要があります。

13. オプショナルサービス
弊社では顧客企業様のご必要に応じたプロフェッショナルサービスを提供して
おります。
【レポート出力された脆弱性への解決アドバイス】
• メールベース：10万円／脆弱性１件
• ミーティング：40万円／ミーティング(60分) 東京近郊のみ
1時間延長あたり20万円
【その他】
• 脆弱性診断方法アドバイザリー：150万円/件
• 社内ネットワーク、WAN、DMZセグメント
• WiFi脆弱性診断方法アドバイス：200万円/件
【キッティング】
• ノートパソコン組込：20万円/台
• ソフトウェア版Penetratorを支給ノートパソコンへの組込
• 最新版ファームウェア、シグネチャ更新
• 所要日数：２営業日
• キッティング作業日よりライセンス消費が開始されます
Copyright © 2015 Bluestar Corporation.
13

14. サンプルレポートを差し上げております
どのような診断結果がでるか、PDF形式にて出力されるレポートのサンプルを
差し上げております。また自社導入を検討する際、自社運用サイトを１つ指定
していただき、脆弱性診断結果をサンプルとして差し上げます。
お問い合わせは、info@blue.co.jp まで。
Copyright © 2015 Bluestar Corporation.
14

15. サンプルスキャンを提供いたします
以下をご購入を検討されている企業様へ実施させていただきます。
• 自社運用を検討されている企業様へサンプルスキャンを実施いたします。
• 社外より接続可能な１つのWEBサーバサービスへの診断を実施させていただき
ます。
• ルータやSIP電話機等の情報通信端末へのサンプルスキャン
• 外部セグメントからの攻撃試験を実施させていただきます。
• サンプル機は１週間無償貸与ください。
• １社１件の診断を無償にてサンプル診断させていただきます。
Copyright © 2015 Bluestar Corporation.
15

16. 購入にあたってのご注意
本ソリューションは、脆弱性診断ツールでございますが、クラックツールとし
ても利用可能であることから、販売先を脆弱性診断の必要性がある企業様へ限
定させていただいております。
また発売元の意向により、本ソリューションの最終利用会社を特定するため、
直販のみでのお取り扱いとさせていただいております。
本ソリューションは、個人の方および、脆弱性診断を必要しないと当社が判断
した企業様への販売はできませんので、ご了承ください。
弊社での販売は日本国内の日本企業のみを対象とさせていただいており、また
外国企業の日本支社および、外国資本日本法人への販売は行っておりません。
法人を経由して個人が利用していることが発覚した場合や、診断先サイトより
診断依頼を得ずにスキャンを実施していることが発覚した場合は、直ちにライ
センス認証を解除いたしますので、ご了承ください。
Copyright © 2015 Bluestar Corporation.
16

17. エンタープライズセキュリティ設計の仕方
ブルースター株式会社は、エンタープライズセキュリティを実現する、国際的
に豊富な導入実績があり、また西側諸国や中立国で権威のあるソリューション
をご案内しています。
それらを用いることで、高いセキュリティを実現できるエンタープライズネッ
トワークを設計可能です。ご参照ください。
【エンタープライズセキュリティ設計の仕方】
http://www.blue.co.jp/pdf/EnterpriseSecurity.pdf
Copyright 2015 by Bluestar Corporation
17