製品概要
サイバー攻撃は、攻撃対象とする組織や目的に合わせた手段が講じられています。そのような状況においては、自組織が攻撃者の標的となった場合にどのような影響を受け、どの程度のリスクがあるかを確認・検証し、対策検討することが望まれます。
「ペネトレーションテストサービス」では、「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」、「セキュリティ診断などで発見されたシステムの問題点(脆弱性)を悪用された場合にどの程度の被害に繋がるか」を確認、検証するために、攻撃者目線でお客様のシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行います。
実施に当たっては、当社コンサルタントが対象組織(企業)のネットワーク構成やシステム、業務環境、重要情報の取り扱いについてヒアリング、過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を攻撃者目線で検討した上で取り組みます。
ペネトレーションテストサービス実施行程
①目標設定
「ペネトレーションテストサービス」の実施目的(対象、ゴール)をお客様とご相談の上で設定します。
②調査
目標に向けて、お客様がインターネットに公開しているサーバ、OA環境の構成などの調査を行い、攻撃シナリオを組み立てます。
※既に攻撃に必要な情報が整理されている場合には、侵入工程から実施させていただく場合があります。
③侵入
・インターネット公開環境
Webアプリケーションからの情報窃取、リモートアクセス経路への不正ログインなど、インターネットに公開されているシステムの脆弱性を悪用し、攻撃を実施します。
・組織の内部環境
OA端末への攻撃(感染拡大)、基幹システムへの侵入、重要情報の持出など、マルウェア感染を想定した攻撃を実施します。
※設定した目標により調査と侵入を繰り返し実施します。
※対象とする環境によっては、事前にセキュリティ診断を実施する場合があります。
特徴
・セキュリティ診断、サイバーアタックシミュレーション(侵入検証サービス)を通じて得た攻撃観点
・脅威動向の調査活動(インテリジェンス)に精通したコンサルタントによる、最新の脅威を踏まえた分析が可能
・PCI DSS準拠・維持の支援を通じて得たサービス提供ノウハウ、2011年から脅威ベースのアセスメントサービスを提供してきた実績
※当社の「セキュリティ診断サービス」と「ペネトレーションテストサービス」の違い
双方のサービスはいずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ以下の内容をご提供します。お客様のご要望に応じて双方を組み合わせてご提案します。
・セキュリティ診断
Webアプリケーション、プラットフォームなど、システムを構成する各要素に注目して安全性を確認し、脆弱性を洗い出す。
・ペネトレーションテスト
攻撃事例や脅威動向を踏まえ、システム全体としての耐性を評価する。
セキュリティ診断で発見された脆弱性による影響を検証する。
