いまや多くの企業や組織は多層防御によるセキュリティ対策を実施しています。しかしながらサイバーセキュリティは防御側より攻撃側が有利であり明確な目的を持って組織的に、戦略的に、かつ計画的に攻撃してくる傾向があると多くの専門家が指摘をしております。このような状況化におけるセキュリティ診断は従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用い、どのような脅威が潜んでいるのかを調査する方法(ペネトレーションテスト)が注目されはじめております。
ペネトレーションテストは脆弱性診断と異なり、考えられる攻撃箇所に対し実際にハッカーが用い戦術やツールで模擬ハッキングによりシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査するテストとなります。加えて、このテストを通じてセキュリティ機能の有効性やセキュリティ耐性を理解することにも役立ち、有益な取組みでもあります。
アイティーエムのペネトレーションテストは、ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向けなどに分類され、目的や用途に合わせて実施できます。また様々なシナリオを元に、攻撃者が実行する仮説を立てて模擬ハッキングによる実践的なテストを実施することも可能です。
ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、
また見つかった脆弱性が悪用されてしまう可能性があるかテストをします
当社ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。ペネトレーションテストには、Blackbox型、Whitebox型、シナリオ型、脅威リード型(LTPT)がありますが、当社では以下のテストをメインに提供しております。
※ 初めての方には、PCI DSSに基づくペネトレーションテストをお勧めしております
【参考】Payment Card Industry(PCI)
(※ PCIDSSのページを参照)データセキュリティ基準(99p)要件 11:セキュリティシステムおよびプロセスを定期的にテストする
⾼い倫理性と⾼いハッキング技術を要するセキュリティエンジニアによる⼿動テストを実施しシステム不正侵入の可能性を探し出します
オンプレミス環境や基幹システム、産業システムなど中〜大規模システムで利用されている業務用ソフトウェアやインフラ基盤、仮想環境などが対象となります。
※ 上記に記載のない製品やシステムにつきましても対応可能なケースも御座いますので、お問い合わせください
ネバダ州ラスベガスで毎年開催される世界最大かつ最も注目すべきハッカー会議の1つのDEFCONや、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議のCODE BLUEなど、世界規模の大イベントで行われるハッキングコンテストで優秀な成績を納めたセキュリティエンジニア集団が所属する、専門的かつ非常に高い技術を持つ企業との協業で、品質の高いサービスを提供いたします。
ハッキングは技術だけではなく犯罪者の心理まで読み解き再現することで、より実践的なテストが実施できます。自社保有の模擬ハッキング方法論は、専門的なツールや多用な方法や体系的なものに分類され、ペネトレーションテスト内容に合わせて組み合わせて実施をすることで、犯罪者が用いる攻撃手法で実践的なテストが可能となります。
バグバウンディとは、公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハットハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度のことで、一般人による攻撃視点からのチェックが有効な目的で行われるものです。当社のペネトレーションテストを実施するセキュリティエンジニアは、技術的な好奇心を満たすことでバグバウンディにも挑戦をし実績をつくりますが、その技術を活かすことで様々なシステムの脆弱性の発見や対策を提案し、金融機関から政府機関、大手企業など数多くの実績を作ってきました。
ペネトレーションテストを実施する際には、様々な疑問点や不安点が生じるでしょう。当社のセキュリティエンジニアは、きめ細やかなサポートとお客さまの疑問点に対して専門的かつ丁寧な回答でわかりやすく解説をします。テスト後には、日本語、英語ともに対応したレポートを作成しご提示いたします。
重要情報を保管している大規模システムを保有していると「システムの不安要素を把握したい」「防御機能が有効か確認したい」そして「防御力はどの程度の耐性があるか把握したい」など様々な不安が頭を過ぎります。ペネトレーションテストはシステムの弱点を見つけ侵入することで、今まで気が付かなかったシステム全体の観点からセキュリティの弱点を把握することができ、具体的な対策を講じることが可能です。
Windowsセキュリティイベントログとは、各オブジェクトで設定した監査ポリシーによって定義された各イベントが記録されることです。ペネトレーションテストのセキュリティエンジニアによる模擬ハッキングでシステムに侵入した際に、対象機器で不正な操作が検知されたか状況がわかります。
セキュリティインシデントの被害件数の増加、攻撃手法の多様化を考えると、これらに対する技術的対策には限界があります。標的型攻撃メールなどは、通常のアンチウイルスソフトやメールフィルタリングソフトなどでは見分けがつきにくく、迷惑メールフォルダに入らなければ受信トレイに着信してしまいます。従って、人的対策も同時に行う必要があり、疑う意識を持ち、対処法を心得ていることが求められます。システムに対する不正侵入のようなハッキング攻撃も同様のことが言えます。ペネトレーションテストでは、実際のサイバー攻撃を模した疑似攻撃をシステムに対して行い、万が一不正侵入された場合、システム担当者が対処法を実地で学んでいく訓練を実施できます。
当社ホームページのお問い合わせフォームから送信、もしくは当社宛にお電話にてご連絡を下さい。
当社担当者よりご連絡を致します。
お客様先へご訪問し、お客様の課題を当社担当者よりヒアリング致します。
またWeb会議システムを利用したサービス説明もできますので臨機応変な対応が可能です。
お客様ご要件とヒアリング内容を元に担当営業担当者から検討内容をもとに、ご提示致します。
当社からの提案内容をご確認いただき、ご承認をいただきます。
御見積書をご送付いたします。同時に今後の進め方のご説明を致しますので、
サービスの流れが具体的にご理解を頂ける内容となります。
ご注文書とサービス利用申込書をご送付いただきます
目的や適用範囲、テスト概要、スケジュール、連絡先の担当者チーム体制、テスト内容、ご依頼事項、
トラブル時の対応などを、まとめた文書を作成いたします。当社から送付致しますのでご確認いただきます。
実際にテストをする環境の準備を行います
テスト環境の準備が整いましたら、実施計画書と共にご確認を頂き準備完了となります。
サーバの脆弱性、アプリケーションの脆弱性、サービスの脆弱性を探索し、テスト対象の特徴を把握/整理します。
収集された脆弱性を分析し、有効な攻撃シナリオ(攻撃方法とツール)を収集します。
準備した攻撃シナリオを実行しシステムへの侵入を試みます。この時に新たに得られるデータや情報を用いて、
新たな攻撃シナリオの組み立てを行い、よりシステムの深部へ侵入を図ります。システムやWebアプリケーションの
セキュリティ上の弱点、突破口、脆弱性をうまく利用することをエクスプロイト(Exploit)と呼びます。
テスト結果を分析しレポートを作成します。
レポート送付と共にご連絡を差し上げますのでご確認頂くことになります。
レポートを元に報告会を実施します。ご質問に対してわかりやすく解説をし回答を致します。
見つかったシステムの脆弱性などを直し対策を実施していただきます
再度同様のテストを実施し対策がされているか確認をします
対策の有効性が確認されればペネトレーションテストは終了となります。
