キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都港区、代表取締役社長：金澤　明、以下キヤノンITS）は、ゼロデイ攻撃などのサイバー攻撃に対するキヤノンITS技術者によるセキュリティサービスとして、これまで提供していたマルウェア解析とスレットハンティングに続き、新たに“ペネトレーションテストサービス”を2023年11月27日（月）より提供開始します。

“ペネトレーションテストサービス”概要図

企業や組織におけるセキュリティ対策の重要性認知が高まる一方、悪意のある攻撃者は脆弱性を突くための攻撃手法を常に進化させており、企業は自社のシステムにおけるセキュリティの弱点を早期に発見することが不可欠となっています。弱点を発見する手法の一つである脆弱性診断は、主に既知の脆弱性を網羅的に検査することに重点を置いており、未知の脆弱性や複合的な攻撃シナリオを発見することが困難です。

“ペネトレーションテストサービス”は、攻撃者の視点でシステムへ侵入を試みて脆弱性を検査することで、サイバー攻撃に対するシステムの耐性を検証し、改善に役立てることができます。

• １.最適なテストシナリオの提案
  お客さまが懸念しているセキュリティ課題をヒアリングし、多くの「攻撃の起点」と「ゴール」の組み合わせから最適なシナリオを提案します。

• ２.セキュリティのプロフェッショナルによるテスト
  テスターは、国際的なペネトレーションテスター認定資格を保持する熟練のセキュリティエンジニアが担当します。キヤノンマーケティングジャパングループが提供するセキュリティ情報発信メディア「サイバーセキュリティ情報局」の執筆も行うセキュリティのスペシャリストです。

• ３.わかりやすい結果報告
  検出された脆弱性は、再現手順、改善策、優先度を合わせて報告するため、セキュリティの改善/強化に向けたロードマップの策定が容易になります。

本サービスに加え、今後もクラウドリスク評価診断などアセスメントサービスの拡充を通じて、情報漏えい対策に課題を抱えるお客さまをワンストップで支援する体制を強化します。
キヤノンITSは、クラウドセキュリティ領域のラインアップ拡大に継続して取り組んでまいります。

サービス名	価格（税別）	提供開始日
ペネトレーションテストサービス	200万円～	2023年11月27日

• １.多くの「攻撃の起点」と「ゴール」の組み合わせから最適なシナリオを提案
  以下は、「攻撃の起点」と「ゴール」の一例です。
  • 攻撃の起点
    ・外部
    外部の攻撃者の立場から診断を始めます。
    WebアプリケーションやVPNなど、インターネットに面しているシステムに対する一般的な攻撃ベクトルを使用して、お客さまの環境に侵入を試みます。このテストは表層的なセキュリティ機能の評価に適しています。
    
    ・内部
    攻撃者が既にサーバーやVPNのアクセス権を持っている状態から診断を始めます。
    SSHやVPNなどのテスト用に払い出されたアカウントから、お客さまが想定しなかった機密情報にアクセスできるかを試します。このテストは万が一攻撃を受けた場合のセキュリティ抵抗力の評価に適しています
  • ゴール
    ・システムの認証を突破する
    ・セキュリティ機器の保護を突破する
    ・ActiveDirectory管理者権限の奪取
    ・サーバーに設置された目的ファイルの奪取
    ・サーバーに設置された目的ファイルの暗号化

• ２.熟練のセキュリティエンジニアによるテスト
  「マルウェア解析サービス」や「スレットハンティングサービス」をはじめ、様々なセキュリティサービス提供により培ってきた知見を活かして、経験豊富なセキュリティエンジニアがテストを担当します。

• ３.わかりやすい結果報告
  本サービスの報告書はペネトレーションテスト標準である「NIST 800-115」や「PTES」に準拠しています。

	脆弱性診断	ペネトレーションテスト
目的	システムの脆弱性を調査する	特定の目的（侵入や情報窃取など）が達せられるか、システムだけではなく運用上の問題点も含めて調査する
評価内容	個別の問題（システムの脆弱性）におけるリスクを分析・評価する	複数の問題（システムの脆弱性や運用）を組み合わせ、特定の目的が達せられるかリスクを分析・評価する
網羅性	あり	なし

内容は発表時のものです。商品の販売終了や、組織の変更等により、最新の情報と異なる場合がありますのでご了承ください。

• 2023年ニュース一覧へ戻る