リアリティを追求したセキュリティ診断「情報システムペネトレーションテスト」とは
ペネトレーションテスト(侵入テスト)において攻撃に成功した場合は、どこまで企業の深部へ侵入でき、どのような情報を持ち出せるかを調査します。それにより、対策の有効性の診断や被害範囲の想定を実施することで、企業はシステム全体の攻撃耐性を確認できます。
ペネトレーションテストはシナリオ検討とセットであり、さまざまな角度から脅威シナリオを検討した上で、優先すべき侵入シナリオについて疑似的なサイバー攻撃を実施します。下記に、代表的なシナリオを示します。
1 システムの情報収集、OSINT調査
検索サイトを利用した情報収集によって、不用意に公開されている情報がないか、攻撃の糸口となる情報がないかを確認します。
2 外部公開サーバに侵入できるかを調査
プラットフォームやWebアプリケーションについて、実際に侵入できる脆弱性があるかを確認します。(この部分は、診断サービスにより対応します。)また、更にそれらの脆弱性を悪用された場合、後段のシステムにどれだけの影響が出る可能性があるかを確認します。
3 疑似マルウェアを用いて、社員のセキュリティモラルを調査
標的型メールが届いた場合の対応を確認したい場合、開封率等を必要に応じて確認可能です。
4 疑似感染により、情報持ち出しができるかを調査
お客様の組織ネットワークがマルウェアに感染した場合のリスクを確認します。マルウェアと一口にいっても、従来のOA環境ばかりではなく、テレワーク環境や委託先端末、特定サービス保守用端末など、そのシナリオは様々です。
脆弱性診断とペネトレーションテストの違い
サービスの流れ
情報システムペネトレーションテストは、次の流れで実施します。シナリオは事前に合意した上で実施します。また、実施中も担当者と確認しながら進めますので、本番環境への影響を最小限にした上で実施できます。
| 実施内容 | 期間の目安 | 期間の 目安 |
|---|---|---|
1.ヒアリングと診断準備 |
1ヶ月 | |
| ネットワーク環境構成、個人/機密情報の保管状況、ログの取得状況などを考慮し最適な診断範囲と疑似攻撃のシナリオを決定します。 | ||
2.疑似攻撃診断の実施 |
1ヶ月~ 2ヶ月 |
|
| シナリオに沿って疑似攻撃による診断を実施し、結果を記録します。 | ||
3.データ分析 |
1ヶ月 | |
| 診断結果およびお客様の環境のログをもとに攻撃に対する問題点を分析し、評価をまとめます。 | ||
4.報告 |
1〜2時間 | |
| 問題点を報告書にまとめ、報告会において発見された問題点をご説明します。 | ||
5.サポート |
1ヶ月 | |
| 納品日から1ヶ月間、報告書や診断結果に関する問い合わせにお応えします。 |
報告書
「情報システムペネトレーションテスト」実施後に提供する報告書においては、調査により判明した問題点および対策について、絵や実際のコマンド等を用いて、具体的かつ分かりやすく記載します。
TLPTへの対応について
TLPT(Threat-led Penetration Testing)の実施をご要望の場合、以上のようなペネトレーションテストの要素に加えて、下記の要素が求められることになります。
- 実施シナリオが的を射ており、正しい優先順位であることを保証するための、脅威分析・脅威情報収集
- BlueTeamによる防御演習および(WhiteTeamによるコーディネートなどを含む)人・組織・運用・体制の面を含めた、技術対策面に限定されない改善点を整理すること
これらを踏まえたTLPTの実施には、確実な技術をバックグランドとしたサイバー攻撃手法の再現が必須ですが、それだけではなく、サイバー攻撃事象とどう向き合うかについてのセキュリティコンサルティングを多分に含むことになります。
TLPTをご要望の企業に対しては、現状のインシデントレスポンス体制、監視機構等を把握した上で、個別にTLPTを提案します。
進め方の例
価格
情報システムペネトレーションテストは、お客様との打ち合わせにより、要望に沿った実施内容(シナリオ)を作成し提供します。
ラックの中でもトップクラスのセキュリティ技術者が最低2ヶ月ほどを費やすことを見込み、700万円~を想定しています。以下は典型的なケースの価格例です。
| 内容 | 価格(税抜き) |
|---|---|
| 標準マルウェア感染 シナリオ |
700~1000万円程度 注:起点の選定等を含む場合別途 |
| RedTeam演習を 実施したい |
1,000万円 ~2,000万円 |
| TLPTを実施したい | 2,000万円 ~3,000万円 |
※ 価格は実施内容により変動いたします。