<実施内容>
実施目的の検討、目標・スコープの検討、スケジュール調整、お見積り・ご提案
計画
サイバー攻撃を模倣し、脆弱性検出・悪用を
試行しながら悪意者の目標達成可否を検証
攻撃者は標的組織や犯行目的に合わせたサイバー攻撃手段を講じます。
NRIセキュアはそのようなサイバー攻撃を模したシナリオに基づくペネトレーションテストを提供し、お客様の組織が標的となった際の影響やリスクの検証、対策検討をご支援します。
※NRIセキュアはCRESTより「CREST Accredited Company Providing Penetration Testing」に認定されています。
ペネトレーションテストの目的
疑似攻撃でシステムのセキュリティ堅牢性を評価
弊社のペネトレーションテストでは、お客様と協議の上、ご懸念の攻撃シナリオや一般的な脅威に基づく攻撃シナリオを構築し、システムのセキュリティ堅牢性※を評価します。
実施にあたっては、当社ペンテスターがお客様のネットワーク構成やシステム、業務環境、重要情報の取り扱いについてヒアリング、過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を攻撃者目線で検討した上で取り組みます。
※攻撃に対する監視/対応プロセスの評価も実施したい場合は弊社レッドチームオペレーションサービスをご利用ください。
ペネトレーションテストの実施工程とスケジュール例
実施シナリオ例
①社内OA端末の遠隔操作型マルウェア感染を起点とし、端末のローカル管理者権限奪取や他マシンへの侵入拡大を経て、社外への機密情報持出を行うシナリオ
まず、インターネット経由でお客様環境内のOA端末へマルウェアを配送/実行し遠隔で操作が可能かテストします。その後、感染端末上で高権限を奪取出来ないか、またテスト対象サーバへ感染端末起点で侵入出来ないかをテストします。最後に、どんな手段で、どんなファイルを社外に持ち出せるかを実際に試し、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。
②外部公開サーバの脆弱性・設定不備を悪用し、インターネット上から 公開サーバへ侵入。内部システムへの侵入拡大、社外への顧客情報持出を行うシナリオ
まず、インターネット公開されているWebサーバやVPNサーバなどに対して既知の脆弱性や設定不備の調査を行ったうえでこれらを悪用しインターネット経由で侵入します。その後お客様内部NWへ更に侵入し最終目標としたサーバ内の機密情報を取得し外部に持ち出すことが可能か実際に試し、外部公開サーバ起点の脅威に対するシステム面の耐性をチェックします。
③OA端末のみにフォーカスを充てた実施シナリオ例
企業のOA端末は、ウイルス感染やシステムへの不正侵入など、外部からの攻撃に加え、従業員による機密情報の持ち出しや、端末の紛失・盗難による情報漏洩といった、さまざまな脅威にさらされています。そのため、通常はこのような脅威による影響を低減、防止するため、情報の持ち出し制限や情報の暗号化などの複数のセキュリティ対策が導入されます。
しかし、想定された脅威や対策の有効性の検証不足、または設定の不備等によって、対策が有効に機能しておらず、悪用を許してしまう可能性があります。
弊社では、実施シナリオ例①に記載している「端末攻略」のみのフェーズを実施する形で、攻撃者視点でOA端末を実機テストしセキュリティ堅牢性を評価します。OA端末のOSをアップデート(例:Windows10からWindows11へのアップデート)したりリプレースを行うことによって、端末の設定に変更が伴う可能性がございます。このようなタイミングで当該シナリオを用いてテストすることで変更後の端末のセキュリティ堅牢性の評価が可能です。
発見される問題の例
・パスワードを推測して権限を奪取する
・アプリケーション関連ファイルから重要情報(認証
情報)を取得する
・OSに存在する脆弱性を悪用して、管理者権限を奪う
・認証を回避して端末を操作する
・USBメモリへの書き出し制限を回避して、
情報を持ち出しする
・ウイルス対策ソフトを強制的に停止する
・MDMによるコントロールを回避して、セキュリティ
上問題のあるアプリケーションをインストールする
当社の「セキュリティ診断サービス」と「ペネトレーションテストサービス」
-
セキュリティ診断/ペネトレーションテストのサービスはいずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ目的が異なります。
-
ペネトレーションテストは評価観点や脅威分析の実施可否によりサービス名称がレッドチームオペレーションやTLPTなどに変わります。お客様の目的に併せたサービスをご選択ください。
特長
当社ペネトレーションテストについては国際的な非営利団体であるCRESTからサービス認定を受けています。
また、当社ではOffensive Security社の資格(OSCP等)やGIAC,CARTP,GRTE等のペンテスト関連資格を保有しているペンテスト専任チームを中心とした体制で、十分な知識・実績を有するメンバによって実施されています。
また、攻撃対象の選定や攻撃シナリオの構築については以下に示す4つの観点に立ち、お客様のご要望ヒアリングと近年の脅威動向を考慮して決定いたします。
●攻撃対象の選定や攻撃シナリオ構築に必要な4要素
●ご参考:近年の脅威動向を考慮
料金
800万円~(税別)
※お客様のご要望により実施内容(シナリオ)を作成し提供します。実施内容により金額は変動します。
