~「CREST Accredited Company Providing Penetration Testing」認定~
脅威ベースの侵入検証(ペネトレーションテスト)
により、明確なリスクを把握
サイバー攻撃では、攻撃の対象となる組織やその目的に合わせた手段が講じられます。有事の被害を最小化するためには、自組織が攻撃の標的となった際にどのような影響を受け、どの程度のリスクが存在するかを検証し、対策を検討することが望まれます。
※NRIセキュアはCRESTより「CREST Accredited Company Providing Penetration Testing」に認定されています。
「ペネトレーションテストサービス」では、「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」、「セキュリティ診断などで発見されたシステムの問題点(脆弱性)を悪用された場合にどの程度の被害に繋がるか」を確認、検証するために、攻撃者目線でお客様のシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行います。
実施に当たっては、当社コンサルタントが対象組織(企業)のネットワーク構成やシステム、業務環境、重要情報の取り扱いについてヒアリング、過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を攻撃者目線で検討した上で取り組みます。
「ペネトレーションテストサービス」の実施目的(対象、ゴール)をお客様とご相談の上で設定します。
目標に向けて、お客様がインターネットに公開しているサーバ、OA環境の構成などの調査を行い、攻撃シナリオを組み立てます。
※既に攻撃に必要な情報が整理されている場合には、侵入工程から実施させていただく場合があります。
Webアプリケーションからの情報窃取、リモートアクセス経路への不正ログインなど、インターネットに公開されているシステムの脆弱性を悪用し、攻撃を実施します。
OA端末への攻撃(感染拡大)、基幹システムへの侵入、重要情報の持出など、マルウェア感染を想定した攻撃を実施します。
※設定した目標により調査と侵入を繰り返し実施します。
※対象とする環境によっては、事前にセキュリティ診断を実施する場合があります。
インターネット経由でお客様環境内のOA端末を操作可能か、疑似マルウェアを利用してチェックします。また、どんな手段で、どんなファイルを社外に持ち出せるかを実際に試し、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。
お客様環境内でマルウェア感染が発生しことを想定して、重要情報を窃取可能であるか、攻撃者と同様の侵入行為を実際に試すことで、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。
企業のエンドポイント端末は、ウイルス感染やシステムへの不正侵入など、外部からの攻撃に加え、従業員による機密情報の持ち出しや、端末の紛失・盗難による情報漏洩といった、さまざまな脅威にさらされています。そのため、通常はこのような脅威による影響を低減、防止するため、情報の持ち出し制限や情報の暗号化などの複数のセキュリティ対策が導入されます。
しかし、想定された脅威や対策の有効性の検証不足、または設定の不備等によって、対策が有効に機能しておらず、悪用を許してしまう可能性があります。
エンドポイントセキュリティ評価では、攻撃者視点で実際に攻撃を試行する実機評価により、これらエンドポイント端末向けのセキュリティ対策の実施状況を診断します(下図参照)。それによって端末構成のセキュリティ面における検討・設計の妥当性や、導入したセキュリティ対策が有効に機能しているかどうかを明確にします。
※ デバイスの種別によって机上評価(CIS Benchmarkとの照合等)を実施可能なケースがございます。詳細はご相談ください。 (オプション対応となります。)
診断対象は、企業の従業員が業務で利用するために特別に構成・設定されたPC、タブレット端末、およびスマートフォンです。また、対象のOSは「Windows」、「Android」、「iOS」です。
※「社内サーバ」や「ファイアウォール」、「無線LANアクセスポイント」など、エンドポイント端末以外の機器については、それぞれ別途診断サービスを提供しています。
「エンドポイント セキュリティ診断」サービスの診断対象
業務で利用するエンドポイント端末を対象に、以下のような項目について評価を行います。
デバイスに関する攻撃目標例
・パスワードを推測して権限を奪取する
・アプリケーション関連ファイルから重要情報(認証情報)を取得する
・OSに存在する脆弱性を悪用して、管理者権限を奪う
・認証を回避して端末を操作する
・USBメモリへの書き出し制限を回避して、情報を持ち出しする
・ウイルス対策ソフトを強制的に停止する
・MDMによるコントロールを回避して、セキュリティ上問題のあるアプリケーションをインストールする
双方のサービスはいずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ以下の内容をご提供します。お客様のご要望に応じて双方を組み合わせてご提案します。
Webアプリケーション、プラットフォームなど、システムを構成する各要素に注目して安全性を確認し、脆弱性を洗い出す。
攻撃事例や脅威動向を踏まえ、システム全体としての耐性を評価する。
セキュリティ診断で発見された脆弱性による影響を検証する。
・セキュリティ診断、サイバーアタックシミュレーション(侵入検証サービス)を通じて得た攻撃観点
・脅威動向の調査活動(インテリジェンス)に精通したコンサルタントによる、最新の脅威を踏まえた分析が可能
・PCI DSS準拠・維持の支援を通じて得たサービス提供ノウハウ、2011年から脅威ベースのアセスメントサービスを提供してきた実績
800万円~(税別)
※お客様のご要望により実施内容(シナリオ)を作成し提供します。実施内容により金額は変動します。