ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組(zu)織のセキュリティ事故(gu)発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約(yue)不要、24時間対(dui)応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

ペネトレーションテストについて

高度(du)標的型攻(gong)(gong)撃(ji)やランサムウェアなど企業を狙うサイバー攻(gong)(gong)撃(ji)による被害(hai)のニュースが後を絶ちません。また、IoT(モノのインターネット)技術を活用(yong)したスマートホーム、スマートシティやコネクティッドカー、新しい生活様(yang)式により利用(yong)者が急増(zeng)するWebサービスやオンラインゲームなどへのサイバー攻(gong)(gong)撃(ji)も増(zeng)加しています。このように、攻(gong)(gong)撃(ji)者の狙う対(dui)象が幅(fu)広くなってきている中、重要な情(qing)報やサービスをどのように守ればよいのかが組織にとっての課題(ti)となっています。高度(du)化・多様(yang)化するサイバー攻(gong)(gong)撃(ji)への対(dui)策の1つが、疑似的な攻(gong)(gong)撃(ji)を行うことでセキュリティ上の問題(ti)点を洗(xi)い出す「ペネトレーションテスト」です。

ペネトレーションテストとは

ペネトレーションテストとは、サイバー攻(gong)撃を再現した疑(yi)似(si)攻(gong)撃を用いて、対象システムに対して「攻(gong)撃者の目的(de)」が達(da)成できてしまうか実(shi)証するテストです。例えば、「対象のシステムから機(ji)密情報(bao)を窃取する」という「攻(gong)撃者の目的(de)」を設(she)定した場(chang)合(he)、その目的(de)が実(shi)現できるか脆(cui)弱性を悪用しシステムへの侵入を試み、機(ji)密情報(bao)を窃取できるかあらゆる攻(gong)撃手法(fa)を実(shi)行(xing)します。このように、目的(de)を達(da)成するために必要な場(chang)合(he)システムへの侵入を試みる疑(yi)似(si)攻(gong)撃も行(xing)われることや、「ペネトレーション(penetration)」の単語の意(yi)味が「侵入」であることから、「侵入テスト」と呼ばれることもあります。

ペネトレーションテストでは、まず「機密情報の窃取(qu)」や「重要データの改ざん」など、具体的(de)な攻(gong)撃(ji)(ji)(ji)者の「目(mu)的(de)」(=ゴール)を定めて、そのゴールを満(man)たすための攻(gong)撃(ji)(ji)(ji)シナリオを設定します。その攻(gong)撃(ji)(ji)(ji)シナリオを元(yuan)に、ペネトレーションテストを担当(dang)する「ペンテスター(ペネトレーションテスター)」が攻(gong)撃(ji)(ji)(ji)者の視点で調(diao)査(cha)や疑(yi)似攻(gong)撃(ji)(ji)(ji)を試行します。

ペネトレーションテストを行うことで、自組織のシステムやサービスがもしサイバー攻撃を受けたらどうなるか、という観(guan)点で「対象システムの攻撃耐性」や「攻撃による侵害の影響範囲(wei)」の確認が可能です。

ペンテスターが攻撃シナリオに沿った疑似攻撃(攻撃者の「目的」である機密情報の窃取、重要データの改ざんなど)を行い、調査対象の潜在する脅威を実証。

ペネトレーションテストとセキュリティ診断(脆弱性診断)との違い

「対(dui)象となるサーバやアプリケーションなどの脆(cui)弱性を網(wang)羅的に確認(ren)する」ことができる「セキュリティ診(zhen)断(duan)(脆(cui)弱性診(zhen)断(duan))」(以下、脆(cui)弱性診(zhen)断(duan))というサービスがあります。​

「ペネトレーションテスト」と「脆(cui)弱(ruo)性(xing)診断」は目(mu)的が異なるため、目(mu)的によって使(shi)い分(fen)ける必(bi)要(yao)があります。​ラックでは脆(cui)弱(ruo)性(xing)診断を「対象(xiang)システムの脆(cui)弱(ruo)性(xing)を網羅(luo)的に確認する診断」、​ペネトレーションテストを「現実的な攻(gong)撃シナリオを用いて、『攻(gong)撃者の目(mu)的』が対象(xiang)システムにおいて達成できてしまうか実証するテスト」と位置付けています。​

目(mu)的がシステムにおける脆弱(ruo)性(xing)(xing)の発見であれば脆弱(ruo)性(xing)(xing)診断を、サイバー攻撃を受けた場合の被(bei)害がどうなるかを確認(ren)することであればペネトレーションテストを選定(ding)するなど、どのサービスであれば目(mu)的を満たせるのかを検(jian)討する必要があります。

ラックによる「脆弱性診断」と「ペネトレーションテスト」の位置付け
ラックによる「脆弱性診断」と「ペネトレーションテスト」の位置付け
(ラック「セキュリティ診断レポート 2020 春 〜標的型攻撃への次の一手『ペネトレーションテスト』の最新情報」より)

ラックのペネトレーションテスト

サイバー攻(gong)(gong)撃手法(fa)に関する高(gao)度な知見と最先端の技術(shu)を持つラックの「ペンテスター」が、攻(gong)(gong)撃者視点(dian)で行う実(shi)践的な疑似攻(gong)(gong)撃で、潜在する脅威を実(shi)証します。

企(qi)業・工(gong)場・制御システム等(deng)のネットワークやクラウド上(shang)の社内システム、IoT家電やコネクティッドカー、車載システムやネットワーク機器(qi)、オンラインゲームやWebサービスなどに関するセキュリティの知見・豊富(fu)な調査実績があり、様(yang)々な環境(jing)に対してペネトレーションテストが可能です。

情報システムペネトレーションテスト、アプリケーションペネトレーションテスト、チート対策ペネトレーションテスト、IoTデバイスペネトレーションテスト

情報システムペネトレーションテスト

お客様の情報(bao)システム(社内外(wai)のネットワークシステム)において、PC端末のマルウェア感染または外(wai)部公開サーバへの侵(qin)入(ru)を前提(ti)として、ネットワーク経由での疑似攻(gong)撃による侵(qin)入(ru)可否や、侵(qin)入(ru)後の展開可能範(fan)囲を攻(gong)撃的手法により検証。

ネットワークセキュリティに精通(tong)したペンテスターが多(duo)層防(fang)御の全体(ti)をまるごと深みのある検(jian)証を実施(shi)、改善点(dian)をすべて報告(gao)。

情報システムペネトレーションテストについて詳しく見る

詳しく見る


情報システムペネトレーションテスト エクスプレス

本物(wu)のサイバー攻撃を模(mo)した「疑似攻撃」を自動化し、短期間かつ低コストでのペネトレーションテストを実現。

ASVツール「Pentera」を活用した網羅的な調査を行い、実(shi)際のサイバー攻撃を模した「疑似攻撃」によって調査対象(xiang)の機器の侵害が可(ke)能かどうかを評価(jia)。

情報システムペネトレーションテスト エクスプレスについて詳しく見る

詳しく見る


TLPT(脅威ベースのペネトレーションテスト)

現実のサイバー攻撃を模(mo)した実戦(zhan)形式(shi)の演習を通して、お客様側の防御や検知(zhi)といった対応を評価し改善策を提案。

診断・監視・緊急対応(ying)・コンサルティングをはじめとするラックの豊富な知見を活用し、お客様のサイバー攻(gong)撃への対応(ying)能力(レジリエンス)の向上を支援。

TLPT(脅威ベースのペネトレーションテスト)について詳しく見る

詳しく見る


IoTデバイスペネトレーションテスト

IoT機器およびそのシステムへの侵入(ru)テストで、サイバー攻撃被(bei)害を未然に防ぐ改善策を提案(an)。

CPUのアーキテクチャー、OS、通信プロトコルに関する豊富(fu)な知(zhi)見、基板やデバイスに関する知(zhi)見、ファームウェアの高度な解析技術を持つペンテスターが、低レイヤーを含めたIoTシステム全(quan)体へ攻撃者視点(dian)で調査。

IoTデバイスペネトレーションテストについて詳しく見る

詳しく見る


アプリケーションペネトレーションテスト

アプリケーションの不正利用がされないか、実際(ji)に攻撃して脆弱性をあぶり出し改善(shan)策を提案。

Webアプリケーションやクライアントアプリケーションなど様々な調(diao)査実績を持つペンテスターが、攻撃者目線で実際にアプリケーションを動作(zuo)させ、実現可能な攻撃・不正行為(wei)を検証。

アプリケーションペネトレーションテストについて詳しく見る

詳しく見る


チート対策ペネトレーションテスト

チート行(xing)為からゲームを守るために、疑似攻撃とソースコード解析(xi)で脆弱性(xing)を発見・改善(shan)策を提案。

ゲームセキュリティを熟(shu)知したセキュリティエンジニアが、攻撃者(zhe)視点(dian)でソースコードを確認するホワイトボックステストと疑(yi)似チート攻撃を行(xing)い、ゲーム全(quan)体の脆(cui)弱性の有無を調査。

チート対策ペネトレーションテストについて詳しく見る

詳しく見る

「ペネトレーションテスト」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top