ペネトレーションテスト
近年、ランサムウェアや不正アクセスなどのサイバー犯罪が増加し、企業規模を問わず被害が発生しています。
機密情報の漏えい、データの改ざん、システム停止、不正利用など、サイバー攻撃の被害は企業活動の継続や社会的信用に大きな影響を与える可能性があります。
このような懸念はありませんか?
さらに、技術的な問題の指摘だけでなく、経営判断につなげられるよう事業への影響や対策の優先順位を分かりやすく整理し、具体的な改善案も含めてご報告します。
ペネトレーションテストとは
About
ペネトレーションテストとは、実際の攻撃者の視点で、システムに侵入できないか、重要な情報を窃取・漏洩できないか、システムを破壊したり業務を妨害したりできないか、といったことを確認するテストです。Webサイト、業務システム、クラウド環境、社内ネットワークなどを対象に、攻撃に悪用される可能性のある弱点(脆弱性)がないかを調べます。
このように、攻撃者の視点に基づき疑似的に攻撃を試すことで、システムが実際の攻撃に対してどの程度耐えられるかを把握し、攻撃にさらされる前に対策を講じることができます。
重要資産に到達される前に、攻撃経路を可視化する
FFRIセキュリティのペネトレーションテストは、事前に合意した範囲とルールのもと、実際の攻撃者の視点で侵入経路、権限昇格、重要情報への到達可能性を検証します。 脆弱性研究、マルウェア解析、防御回避手法に関する知見を活用し、単なる脆弱性の列挙ではなく、事業影響、攻撃シナリオ、改善優先度まで整理してご報告します。
当社の強み
Strength
脅威分析に基づく現実的なシナリオ設計
対象システムや事業内容から現実的な攻撃シナリオを設計し、被害につながりやすいリスクを効果的に分析します。
攻撃者の防御回避手法を踏まえた検証
攻撃者がどのように防御策を回避するかを想定し、導入済みのセキュリティ対策が実際の攻撃に対しどの程度有効かを評価します。
セキュリティ製品FFRI yarai開発で培った知見の活用
マルウェアによるサイバー攻撃の研究実績を活かし、近年被害が急増しているランサムウェアをはじめ、マルウェア感染につながるリスクを洗い出します。また、感染後の被害拡大や業務への影響なども検証します。
経営判断と技術的改善の双方に役立つ報告
経営層向けには事業影響や優先度を分かりやすく整理し、技術担当者向けには発見事項の詳細、暫定対策案と根本的対策案を具体的に報告します。
サービスの流れ
Flow
1準備
- はじめに秘密保持契約を締結します。ご提供いただく機密情報は契約内容に則り厳格に管理します。
- 実施するテストの目的、対象範囲、期間、実施可能な手法、禁止事項、テスト実施形態、連絡体制、その他重要事項を明確にします。また、成果物の形式や報告会の有無も決定します。
- 必要に応じてステークホルダーへのヒアリングを行います。
2テスト実施
- テストは、事前に合意した対象範囲、手法、禁止事項に従い、安全性に配慮して実施します。
- リモートでの実施
- 当社エンジニアがインターネット経由で対象システムに接続し、テストを実施します。
この際、暗号化通信(VPN)を利用するため、通信内容は秘匿されます。
- 当社エンジニアがインターネット経由で対象システムに接続し、テストを実施します。
- オンサイトでの実施
- 当社エンジニアが対象システムの設置場所に出向き、現地にてテストを実施します。
3報告
- テスト結果に基づき報告書を作成します。
- 経営層向けにテスト結果と影響範囲をまとめたエグゼクティブサマリを提供します。
- 技術担当者向けに発見事項の詳細、対応優先度、対応策などをまとめたレポートを提供します。
- ご希望があった場合、報告会を実施し脆弱性の内容や攻撃シナリオを解説いたします。
- 緊急度の高い脆弱性については、報告書・報告会を待たずに緊急連絡先に共有いたします。
4アフターサービス
- お客様がシステムの修正に取り組まれる際、具体的な対策の進め方についてご相談いただけます。短期間で実施可能な暫定対策から、長期的な安全性を確保するための改善策まで、技術的な観点から支援します。
- お客様による対応後、必要に応じて再テストを実施し、指摘事項が適切に解消されていることを確認します。
安全な実施のために
以下のような影響の大きい操作は、事前に明示的な合意がある場合を除き実施しません。
- データの破壊、改ざん、削除
- 本番業務に影響するDoS攻撃
- 大量通信や高負荷を伴う検証
- 個人情報・機密情報の不要な取得
- 合意範囲外のシステムへのアクセス
- マルウェアの実行や永続化を伴う操作
テスト中に重大な影響が懸念される場合は、事前に定めた緊急連絡先へ連絡し、必要に応じてテストを一時停止します。
対象範囲の例
- Webアプリケーション
- API
- クラウド環境
- 社内ネットワーク
- Active Directory/Entra ID等の認証基盤
- VPN、リモートアクセス環境
- 公開サーバー、外部公開サービス
- 開発・検証環境
- 必要に応じたソースコード、設計情報、設定情報の確認
FAQ
当社では、脆弱性診断を、対象システムに存在する脆弱性や設定不備を幅広く確認し、影響度と対応策を整理する検査と位置付けています。 一方、ペネトレーションテストは、事前に定めた攻撃目標に対して、複数の脆弱性や設定不備を組み合わせ、重要資産への到達可能性や事業影響を検証する点に特徴があります。
TLPT(Threat-Led Penetration Testing)は「脅威ベースのペネトレーションテスト」とも呼ばれ、実在する攻撃者グループによる攻撃シナリオを想定し、組織の防御力や対応能力を評価します。 テストは攻撃側と防御側に分かれて実施します。攻撃側は攻撃シナリオに基づきシステムへ攻撃を試み、防御側は攻撃の検知・防御・対応を行うことで、組織の攻撃耐性を評価します。 一般的な攻撃手法にとどまらず実在の攻撃シナリオを模倣してテストする点、および、特定のシステムだけでなくシステムを保有する組織の対応能力も含めて評価する点が、一般的なペネトレーションテストと異なります。
当社はペネトレーションテストの他に脆弱性診断とTLPTのサービスも提供しています。サービスの選定にご不明な点などございましたら、お気軽にお問い合わせください。ご要望に合わせて適切なサービスをご提案いたします。
可能です。公開/非公開、単一/複数の構成要素、ファイアウォールやネットワーク機器の有無など、多様なシステムに対し適切なテストを設計します。
ソースコードの提出は必須ではありません。 ソースコードや設計情報などを踏まえて行うテストを「ホワイトボックステスト」、逆にこれらの情報をほとんど持たずに外部から見える情報のみで行うテストを「ブラックボックステスト」、その中間で限定的な情報のみ反映したテストを「グレーボックステスト」といいます。 ブラックまたはグレーボックステストではソースコードの解析を検査項目に含まないため、提出の必要はありません。 また、ホワイトボックステストのためにソースコードを提出いただいた場合でも、秘密保持契約に則り適切に管理し、成果物の納品後には廃棄します。 ソースコードに限らず、システム設計や内部情報など、どの程度の情報を提供する必要があるのか、どのような種類のテストが可能なのかなどはお気軽にお問い合わせください。
