攻撃者視点でシステムを検査する ペネトレーションテストサービス
攻撃者の視点でシステムへ侵入を試みて脆弱性を検査することで、サイバー攻撃に対するシステムの耐性を検証し、改善に貢献します。
企業や組織におけるセキュリティ対策の重要性認知が高まる一方、悪意のある攻撃者は脆弱性を突くための攻撃手法を常に進化させており、企業は自社のシステムにおけるセキュリティの弱点を早期に発見することが不可欠となっています。弱点を発見する手法の一つである脆弱性診断は、主に既知の脆弱性を網羅的に検査することに重点を置いており、未知の脆弱性や複合的な攻撃シナリオを発見することが困難です。ペネトレーションテストサービスは、攻撃者の視点でシステムへ侵入を試みて脆弱性を検査することで、サイバー攻撃に対するシステムの耐性を検証し、改善に貢献します。
- 対策すべき脆弱性の優先順位がわからない
- 脆弱性診断で見つけられない脆弱性が心配
- セキュリティ対策の効果や攻撃への抵抗力を評価したい
- 最適なテストシナリオの提案お客さまが懸念しているセキュリティ課題をヒアリングし、多くの「攻撃の起点」と「ゴール」の組み合わせから最適なシナリオを提案します。以下は、「攻撃の起点」と「ゴール」の一例です。
●攻撃の起点
・外部
外部の攻撃者の立場から診断を始めます。
WebアプリケーションやVPNなど、インターネットに面しているシステムに対する一般的な攻撃ベクトルを使用して、お客様の環境に侵入を試みます。このテストは表層的なセキュリティ機能の評価に適しています。
・内部
攻撃者が既にサーバーやVPNのアクセス権を持っている状態から診断を始めます。
SSHやVPNなどのテスト用に払い出されたアカウントから、お客さまが想定しなかった機密情報にアクセスできるかを試します。このテストは万が一攻撃を受けた場合のセキュリティ抵抗力の評価に適しています。
●ゴール
・システムの認証を突破する
・セキュリティ機器の保護を突破する
・ActiveDirectory管理者権限の奪取
・サーバーに設置された目的ファイルの奪取
・サーバーに設置された目的ファイルの暗号化 - セキュリティのプロフェッショナルによるテストテスターは、国際的なペネトレーションテスター認定資格を保持する熟練のセキュリティエンジニアが担当します。キヤノンマーケティングジャパングループが提供するセキュリティ情報発信メディア「サイバーセキュリティ情報局」の執筆も行うセキュリティのスペシャリストです。「マルウェア解析サービス」や「スレットハンティングサービス」をはじめ、様々なセキュリティサービス提供により培ってきた知見を活かして、経験豊富なセキュリティエンジニアがテストを担当します。
- わかりやすい結果報告検出された脆弱性は、再現手順、改善策、優先度を合わせて報告するため、セキュリティの改善/強化に向けたロードマップの策定が容易になります。本サービスの報告書はペネトレーションテスト標準である「NIST 800-115」や「PTES」に準拠しています。
| サービス名 | 価格(税別) |
|---|---|
| ペネトレーションテストサービス | 200万円~ |
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | システムの脆弱性を調査する | 特定の目的(侵入や情報窃取など)が達せられるか、システムだけではなく運用上の問題点も含めて調査する |
| 評価内容 | 個別の問題(システムの脆弱性)におけるリスクを分析・評価する | 複数の問題(システムの脆弱性や運用)を組み合わせ、特定の目的が達せられるかリスクを分析・評価する |
| 網羅性 | あり | なし |