ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予(yu)約(yue)不要、24時(shi)間(jian)対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

ペネトレーションテスト

情報システムペネトレーションテスト

Inspection & Consulting

ラックのホワイトハッカーが企業に「疑似攻撃」を仕掛け、
セキュリティ対策の有効性、攻撃耐性をチェック

明確(que)な目的を持(chi)ったサイバー攻撃(ji)グループに狙われると、セキュリティ対(dui)策を何重に組(zu)み合わせているつもりでも、想定(ding)外のわずかな隙(xi)をつかれ侵入を許してしまう可能性があります。当サービスではラックのホワイトハッカーが攻撃(ji)者視(shi)点(dian)で企業のシステムに疑(yi)似攻撃(ji)を仕掛け、対(dui)策の有効性や改(gai)善点(dian)を報告します。

サービスの強み

セキュリティのプロフェッショナルがマルウェア感染端(duan)末(mo)・テレワーク環境・委託(tuo)先環境などあらゆる侵入経路から疑似的に攻撃し、人の目で弱点(dian)を発見(jian)

サイバー攻(gong)(gong)(gong)撃について知(zhi)り尽くすセキュリティプロフェッショナルが、企業が運(yun)用している外部(bu)公開サーバなどあらゆる侵(qin)入経路に疑似攻(gong)(gong)(gong)撃を実施し、人(ren)の目でシステムの弱点を発見します。攻(gong)(gong)(gong)撃に成功した場合は、どこまで企業の深部(bu)へと侵(qin)入でき、どのような情報(bao)を持ち出せるかを調査。現在(zai)の対策(ce)の有(you)効性の診(zhen)断や想定される被害範(fan)囲について報(bao)告します。本当のサイバー攻(gong)(gong)(gong)撃に対するシステム全体(ti)の耐性を確認(ren)することができます。

ペネトレーションテストならではの脅威シナリオに基づいて診断する

  1. APT(高度標的型攻撃)などの侵入を模擬的に実施し多層防御を検証
    ペネトレーションテストは、組織を対象として行うことが基本形ですが、OSINT情報の収集や社員への標的型攻撃メール送付、いわゆるAPT(高度標的型攻撃)などが代表的な侵入手段であり、これらを模擬的に実施し多層防御を検証します。
  2. 特定の外部公開システムに沿ったペネトレーションテストを実施可能
    特定の外部公開システムのみを対象としたペネトレーションテストを要望の場合、まずは外部公開サーバや社内の重要サーバに侵入するためにプラットフォーム調査を実施して脆弱性を洗い出します。
  3. ペネトレーションテストらしさを生かした脅威シナリオに基づく確認
    通常のセキュリティ診断でも侵入リスクについての調査は行われますが、本サービスは「フロントエンドサーバが侵害を受けた場合にも、被害拡大を抑止できる構成であるかどうか」などの、実際の攻撃手口や被害を想定した脅威シナリオに基づき、攻撃耐性や被害の影響までを確認します。

リアリティを追求したセキュリティ診断「情報システムペネトレーションテスト」とは

ペネトレーションテスト(侵(qin)入テスト)において攻(gong)撃に成功した場合(he)は、どこまで企(qi)業の深部へ侵(qin)入でき、どのような情報を持ち出(chu)せるかを調査します。それにより、対策の有効性の診断や被(bei)害範囲の想定を実施(shi)することで、企(qi)業はシステム全(quan)体の攻(gong)撃耐性を確認(ren)できます。

ペネトレーションテストはシナリオ検討とセットであり、さまざまな角度(du)から脅(xie)威シナリオを検討した上(shang)で、優先すべき侵入(ru)シナリオについて疑似的(de)なサイバー攻撃を実施します。下記に、代表的(de)なシナリオを示(shi)します。

1 システムの情報収集、OSINT調査

検索サイトを利用(yong)した情(qing)報(bao)(bao)収集によって、不(bu)用(yong)意(yi)に公開されている情(qing)報(bao)(bao)がないか、攻撃の糸口となる情(qing)報(bao)(bao)がないかを確認します。

2 外部公開サーバに侵入できるかを調査

プラットフォームやWebアプリケーションについて、実際に侵入できる脆弱性(xing)があるかを確認します。(この部分は、診断サービスにより対応(ying)します。)また、更にそれらの脆弱性(xing)を悪用された場合、後段のシステムにどれだけの影響(xiang)が出(chu)る可(ke)能性(xing)があるかを確認します。

3 疑似マルウェアを用いて、社員のセキュリティモラルを調査

標的型メールが届いた場(chang)合(he)の対応(ying)を確認(ren)したい場(chang)合(he)、開封率等を必要に応(ying)じて確認(ren)可(ke)能です。

4 疑似感染により、情報持ち出しができるかを調査

お客(ke)様(yang)の組織(zhi)ネットワークがマルウェアに感染した場合のリスクを確認します。マルウェアと一口(kou)にいっても、従来のOA環(huan)境(jing)ばかりではなく、テレワーク環(huan)境(jing)や委託先(xian)端末、特(te)定サービス保守用端末など、そのシナリオは様(yang)々です。

ラックの情報システムペネトレーションテストのイメージ図

脆弱性診断とペネトレーションテストの違い

サービスの流れ

情報システムペネトレーションテストは、次(ci)の流(liu)れで実(shi)施(shi)します。シナリオは事(shi)前に合(he)意した上(shang)で実(shi)施(shi)します。また、実(shi)施(shi)中も担当者と確(que)認しながら進めますので、本番環境への影(ying)響(xiang)を最(zui)小限にした上(shang)で実(shi)施(shi)できます。

実施内容 期間の目安 期間の
目安

1.ヒアリングと診断準備

1ヶ月
ネットワーク環境構成、個人/機密情報の保管状況、ログの取得状況などを考慮し最適な診断範囲と疑似攻撃のシナリオを決定します。

2.疑似攻撃診断の実施

1~2週間
シナリオに沿って疑似攻撃による診断を実施し、結果を記録します。

3.データ分析

1ヶ月
診断結果およびお客様の環境のログをもとに攻撃に対する問題点を分析し、評価をまとめます。

4.報告

1~2時間
問題点を報告書にまとめ、報告会において発見された問題点をご説明します。

5.サポート

1ヶ月
納品日から1ヶ月間、報告書や診断結果に関する問い合わせにお応えします。

報告書

「情(qing)報(bao)システムペネトレーションテスト」実施後(hou)に提供(gong)する報(bao)告(gao)書においては、調査により判(pan)明した問題点および対策について、絵や実際のコマンド等を用いて、具体的かつ分かりやすく記(ji)載します。

ペネトレーションテスト報告書目次、リスクの評価と定義

「レッドチーム演(yan)習(xi)」は、ペネトレーションテストの中でも行(xing)(xing)われる疑似攻撃(ji)を活用した演(yan)習(xi)です。ブルーチーム(お客様(yang)のSOCやCSIRTなど)の方に実際(ji)に攻撃(ji)に対応(ying)して頂き、検知・初(chu)動対応(ying)・封じ込め等(deng)(deng)の対応(ying)が可能かどうかの評価を行(xing)(xing)います。「レッドチーム演(yan)習(xi)」をご要望のお客様(yang)に対しても、現状(zhuang)の監視体制等(deng)(deng)を踏まえた攻撃(ji)シナリオのご提案(an)が可能です。

ブルーチームにとっての演習効果を最(zui)大限高めたい(対応能(neng)力(li)(レジリエンス)の向(xiang)上(shang)を目的として重視(shi)したい)場合、「TLPT(脅威ベースのペネトレーションテスト)」のサービス内容もご参照ください。

価格

情報システムペネトレーションテストは、お客様(yang)との打ち合わせにより、要望(wang)に沿った実施内(nei)容(シナリオ)を作成し提供(gong)します。

ラックの中でもトップクラスのセキュリティ技術者(zhe)が最低2ヶ月ほどを費やすことを見込み、700万円~を想定しています。以下は典型的なケースの価格例です。

内容 価格(税抜き)
標準マルウェア感染
シナリオ
700~1000万円程度
注:起点の選定等を含む場合別途

※ 価格(ge)は実施内容(rong)により変動いたします。

「情報システムペネトレーションテスト」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top