株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

ペネトレーションテスト
(疑似攻撃・侵入テスト・TLPT)

Inspection & Consulting

ラックのホワイトハッカーが企業に「疑似攻撃」を仕掛け、
セキュリティ対策の有効性、攻撃耐性をチェック

明確な目的を持ったサイバー攻撃グループに狙われると、セキュリティ対策を何重に組み合わせているつもりでも、想定外のわずかな隙をつかれ侵入を許してしまう可能性があります。当サービスではラックのホワイトハッカーが攻撃者視点で企業のシステムに疑似攻撃を仕掛け、対策の有効性や改善点を報告します。

サービスの強み

セキュリティのプロフェッショナルがマルウェア感染端末・テレワーク環境・委託先環境などあらゆる侵入経路から疑似的に攻撃し、人の目で弱点を発見

サイバー攻撃について知り尽くすセキュリティプロフェッショナルが、企業が運用している外部公開サーバなどあらゆる侵入経路に疑似攻撃を実施し、人の目でシステムの弱点を発見します。攻撃に成功した場合は、どこまで企業の深部へと侵入でき、どのような情報を持ち出せるかを調査。現在の対策の有効性の診断や想定される被害範囲について報告します。本当のサイバー攻撃に対するシステム全体の耐性を確認することができます。

ペネトレーションテストならではの脅威シナリオに基づいて診断する

  1. APT(高度標的型攻撃)などの侵入を模擬的に実施し多層防御を検証
    ペネトレーションテストは、組織を対象として行うことが基本形ですが、OSINT情報の収集や社員への標的型攻撃メール送付、いわゆるAPT(高度標的型攻撃)などが代表的な侵入手段であり、これらを模擬的に実施し多層防御を検証します。
  2. 特定の外部公開システムに沿ったペネトレーションテストを実施可能
    特定の外部公開システムのみを対象としたペネトレーションテストを要望の場合、まずは外部公開サーバや社内の重要サーバに侵入するためにプラットフォーム調査を実施して脆弱性を洗い出します。
  3. ペネトレーションテストらしさを生かした脅威シナリオに基づく確認
    通常のセキュリティ診断でも侵入リスクについての調査は行われますが、本サービスは「フロントエンドサーバが侵害を受けた場合にも、被害拡大を抑止できる構成であるかどうか」などの、実際の攻撃手口や被害を想定した脅威シナリオに基づき、攻撃耐性や被害の影響までを確認します。

リアリティを追求したセキュリティ診断「ペネトレーションテストサービス」とは

ペネトレーションテスト(侵入テスト)において攻撃に成功した場合は、どこまで企業の深部へ侵入でき、どのような情報を持ち出せるかを調査します。それにより、対策の有効性の診断や被害範囲の想定を実施することで、企業はシステム全体の攻撃耐性を確認できます。

ペネトレーションテストはシナリオ検討とセットであり、さまざまな角度から脅威シナリオを検討した上で、優先すべき侵入シナリオについて疑似的なサイバー攻撃を実施します。下記に、代表的なシナリオを示します。

1 システムの情報収集、OSINT調査

検索サイトを利用した情報収集によって、不用意に公開されている情報がないか、攻撃の糸口となる情報がないかを確認します。

2 外部公開サーバに侵入できるかを調査

プラットフォームやWebアプリケーションについて、実際に侵入できる脆弱性があるかを確認します。(この部分は、診断サービスにより対応します。)また、更にそれらの脆弱性を悪用された場合、後段のシステムにどれだけの影響が出る可能性があるかを確認します。

3 疑似マルウェアを用いて、社員のセキュリティモラルを調査

標的型メールが届いた場合の対応を確認したい場合、開封率等を必要に応じて確認可能です。

4 疑似感染により、情報持ち出しができるかを調査

お客様の組織ネットワークがマルウェアに感染した場合のリスクを確認します。マルウェアと一口にいっても、従来のOA環境ばかりではなく、テレワーク環境や委託先端末、特定サービス保守用端末など、そのシナリオは様々です。

ラックのペネトレーションテストサービスのイメージ図

サービスの流れ

ペネトレーションテストサービスは、次の流れで実施します。シナリオは事前に合意した上で実施します。また、実施中も担当者と確認しながら進めますので、本番環境への影響を最小限にした上で実施できます。

実施内容 期間の目安 期間の
目安

1.ヒアリングと診断準備

1ヶ月
ネットワーク環境構成、個人/機密情報の保管状況、ログの取得状況などを考慮し最適な診断範囲と疑似攻撃のシナリオを決定します。

2.疑似攻撃診断の実施

1ヶ月~
2ヶ月
シナリオに沿って疑似攻撃による診断を実施し、結果を記録します。

3.データ分析

1ヶ月
診断結果およびお客様の環境のログをもとに攻撃に対する問題点を分析し、評価をまとめます。

4.報告

1〜2時間
問題点を報告書にまとめ、報告会において発見された問題点をご説明します。

5.サポート

1ヶ月
納品日から1ヶ月間、報告書や診断結果に関する問い合わせにお応えします。

報告書

「ペネトレーションテストサービス」実施後に提供する報告書においては、調査により判明した問題点および対策について、絵や実際のコマンド等を用いて、具体的かつ分かりやすく記載します。

ペネトレーションテスト報告書目次、リスクの評価と定義

TLPTへの対応について

TLPT(Threat-led Penetration Testing)の実施をご要望の場合、以上のようなペネトレーションテストの要素に加えて、下記の要素が求められることになります。

  • 実施シナリオが的を射ており、正しい優先順位であることを保証するための、脅威分析・脅威情報収集
  • BlueTeamによる防御演習および(WhiteTeamによるコーディネートなどを含む)人・組織・運用・体制の面を含めた、技術対策面に限定されない改善点を整理すること

これらを踏まえたTLPTの実施には、確実な技術をバックグランドとしたサイバー攻撃手法の再現が必須ですが、それだけではなく、サイバー攻撃事象とどう向き合うかについてのセキュリティコンサルティングを多分に含むことになります。

TLPTをご要望の企業に対しては、現状のインシデントレスポンス体制、監視機構等を把握した上で、個別にTLPTを提案します。

進め方の例

脅威分析、シナリオ確定、ペネトレーションテスト(演習)、考察・取りまとめ

価格

ペネトレーションテストサービスは、お客様との打ち合わせにより、要望に沿った実施内容(シナリオ)を作成し提供します。

ラックの中でもトップクラスのセキュリティ技術者が最低2ヶ月ほどを費やすことを見込み、700万円~を想定しています。以下は典型的なケースの価格例です。

内容 価格(税抜き)
標準マルウェア感染
シナリオ
700~1000万円程度
注:起点の選定等を含む場合別途
RedTeam演習を
実施したい
1,000万円
~2,000万円
TLPTを実施したい 2,000万円
~3,000万円

※ 価格は実施内容により変動いたします。

「ペネトレーションテスト(疑似攻撃・侵入テスト・TLPT)」に関するお問い合わせ