EN

consulting-hero-bg

Fast Pentest

脅威を前提としたシナリオのペネトレーションテストを短期間/低コストで簡易的に実施

こんな課題ありませんか?

テスト期間/費用の課題

グループ会社からのセキュリティ侵害事案が発生していることから、自社グループ企業への攻撃耐性を検証したいが、通常のペネトレーションテストにかかる費用や期間を確保するのが難しい

実施難易度の高さの課題

昨今、業界団体のガイドラインでもペネトレーションテストが推奨されているが、シナリオ検討などのテスト対応の負荷が大きく実施難易度が高い

Fast Pentestでお客様のお悩みを解決します!

Fast Pentestでは、「外部の攻撃者による、Active Directory利用のWindows環境への侵入からドメイン管理者の取得や重要情報の外部への持ち出し」といった攻撃シナリオに沿ってペネトレーションテストを実施します。

  • テスト実施項目を固定・一部自動化しているため、短期間かつ低コストでテスト実施が可能
  • よくある脅威や、過去弊社にご相談いただいた実績に基づく攻撃シナリオを利用し、テスト対応負担を軽減してテストを簡易的に実施

近年のセキュリティインシデントでは、従業員端末やVPN機器への不正侵入後にActive Directoryが掌握され、重要情報が外部に持ち出されるケースが増えています。そのため、多くの組織ではリスク分析の結果、これらの機器を最優先でテストする傾向が強まっています。

評価対象機器

  • ドメイン参加している社内OA端末1台
  • Active Directory1台(※)

※Entra IDは対象外です

  • VPN機器などのリモートアクセスポイント(オプション)

実施内容

  • セキュリティ設定・セキュリティソリューション等のサイバー攻撃防御の有効性を検証します。
  • 攻撃深度に応じてテストを分割し、システムや権限毎に攻撃目標(①~⑤)を設定します。
  • 各攻撃目標を達成できなかった場合でも、後続の攻撃段階を独立してシステムの防御力のみ評価いたします。実施内容

 

従来のペネトレーションテストとFast Pentestのサービス概要比較

従来のペネトレーションテストとFast Pentestではご利用シーンが異なります。
お客様のご要望に合わせたサービスをご検討ください。

fastpentest-2

 

サービスの流れ

Fast Pentestでは、契約からご報告までの流れは以下の通りとなります。以下のスケジュール例では、お客様のご負担を考慮し、ご契約手続きや準備期間を長めに取った場合をご例示しており、当該スケジュールよりも短期間で実施できる場合もございます。

fasrpentest-スケジュール

 

料金

詳細については、以下よりお気軽にお問い合わせください。

よくある質問

Q. セキュリティ診断とペネトレーションテストの違いは何ですか?
A.

双方いずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ以下の特徴があります。

セキュリティ診断
脆弱性の網羅的な洗い出しが目的となり、脆弱性を悪用した試行までは実施しません。

ペネトレーションテスト
テストのゴールを設定し、脆弱性を悪用しゴールの達成可否を評価することが目的となり、脆弱性の網羅的な洗い出しは実施しません。

Q. 本サービスで攻撃検知有無の評価も含まれますか?
A.

本サービスではEDRなどのセキュリティ対策製品による攻撃検知や、これらの検知によるお客様組織のインシデント対応有無の評価は含めておらず、テスト対象機器に内包される脆弱性を悪用したゴールの達成可否(対象機器のセキュリティ堅牢性)のみが評価対象となります。