セキュリティ診断

ペネトレーションテストサービス（侵入テスト）

1995年に日本で初めてセキュリティ診断サービスを提供したラックは、これまで培ってきた全てのセキュリティ診断のノウハウを活用した、侵入を中心とする総合的セキュリティサービスとして「ペネトレーションテストサービス」を提供しています。

このサービスは、ラックのセキュリティ技術者が、インターネットを介してお客様のITシステムに対する疑似攻撃を行い、セキュリティ対策の有効性の診断や被害範囲の想定を行うことで、お客様のシステム全体の耐性を確認します。また、侵入できた場合には、被害拡散リスクの評価に移行します。
ペネトレーションテストでは、外部公開サーバーや社内の重要サーバーに侵入するためにプラットフォーム診断を実施して脆弱性を洗い出したり、外部公開WebやイントラネットWebにアプリケーション診断を実施したりします。さらに社員の皆様への標的型攻撃メール訓練、カスタム疑似マルウェアを配置したAPT先制攻撃など、脆弱性の存在や社員の意識確認などを並行して調査します。

サイバー攻撃対策の現状

サイバー攻撃を仕掛ける犯罪者と、攻撃を防ぐ企業の戦いは途切れることなく続き、企業は常に新しい攻撃手段による脅威にさらされています。
防御する私たちは、多層防御を用いて各セキュリティ対策の特性を補完しながら、安全性の確保に取り組んでいますが、攻撃をする側は、無数にある攻撃ポイントに対して、時期や期間を気にせずに攻撃できる立場にあるため、次のような対策を講じても完全に攻撃を防ぐことは難しいといわれています。

リアリティを追求したセキュリティ診断「ペネトレーションテストサービス」とは

サイバー攻撃は、コンピュータが自発的に行っているわけではなく、悪意を持った人間がコントロールをしています。どんなにセキュリティ対策を組み合わせても、その対策が狡猾な人間により付け入る隙を見つけられてしまう可能性があります。
そこでラックは、サイバー攻撃を知り尽くしたセキュリティプロフェッショナルが、お客様が運用している外部公開サーバなどあらゆる侵入経路に疑似攻撃を行い、人の目で弱点を発見します。攻撃に成功した場合は、どこまで企業の深部へ侵入でき、どのような情報を持ち出せるかを調査し、対策の有効性の診断や被害範囲の想定を行うことで、お客様はシステム全体の耐性を確認することができます。

---

１　システムの情報収集や物理的弱点を調査
検索サイトを利用した情報収集や物理的な弱点について確認。

2　外部公開サーバに侵入できるかを調査
プラットフォームやWebアプリケーションの脆弱性をついて、実際に侵入できるかを確認。

3　疑似マルウェアを用いて、社員のセキュリティモラルを調査
標的型メールが届いた場合の対応や、社内の情報を外部に公開していないかなどを確認。

4　疑似感染により、情報持ち出しができるかを調査
お客様の組織ネットワークがマルウェアに感染した場合のリスクを確認。

---

「ペネトレーションテストサービス」は、次のように様々な角度から疑似的なサイバー攻撃を行い、お客様のシステムの弱点や被害の広がりを検証し、報告いたします。

サービスについてのお問い合わせはこちらからお願いいたします。

サービス提供の流れ

「ペネトレーションテストサービス」は、次の流れで実施されます。実施内容（シナリオ）については、事前に合意した上で実施します。また実施中にも担当者と確認をとりながら進めますので、本番環境への影響を最小限にした上で実施できます。

報告書

「ペネトレーションテストサービス」実施後に提供する報告書においては、調査により判明した問題点および対策について、絵や実際のコマンド等を用いて、具体的かつ分かりやすく記載します。

ペネトレーションテストサービスの費用

ペネトレーションテストサービスは、お客様との打ち合わせにより、要望に沿った実施内容（シナリオ）を作成し提供します。
当社トップクラスのセキュリティ技術者が最低3カ月ほどを費やすことを見込み、平均的なサービス提供価格として1,000万円～2,000万円（税抜き）を想定しています（実施内容により金額は変動します）。