EN

ペネトレーションテストサービス

~「CREST Accredited Company Providing Penetration Testing」認定~

サイバー攻撃を模倣し、脆弱性検出・悪用を
試行しながら
悪意者の目標達成可否を検証penetrationtest

攻撃者は標的組織や犯行目的に合わせたサイバー攻撃手段を講じます。

NRIセキュアはそのようなサイバー攻撃を模したシナリオに基づくペネトレーションテストを提供し、お客様の組織が標的となった際の影響やリスクの検証、対策検討をご支援します。

※NRIセキュアはCRESTより「CREST Accredited Company Providing Penetration Testing」に認定されています。

ペネトレーションテストの目的
疑似攻撃でシステムのセキュリティ堅牢性を評価

弊社のペネトレーションテストでは、お客様と協議の上、ご懸念の攻撃シナリオや一般的な脅威に基づく攻撃シナリオを構築し、システムのセキュリティ堅牢性を評価します。

実施にあたっては、当社ペンテスターがお客様のネットワーク構成やシステム、業務環境、重要情報の取り扱いについてヒアリング、過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を攻撃者目線で検討した上で取り組みます。

攻撃に対する監視/対応プロセスの評価も実施したい場合は弊社レッドチームオペレーションサービスをご利用ください。

penetrationtest1

ペネトレーションテストの実施工程とスケジュール例

  1. STEP

    1

    計画

    <実施内容>
    実施目的の検討、目標・スコープの検討、スケジュール調整、お見積り・ご提案

    本フェーズでは、ペネトレーションテストの目的や対象範囲(スコープ)、実施時期などをお客様とすり合わせ、テストの方向性を明確にいたします。ヒアリング内容を踏まえ、ご予算に応じたお見積りと実施案をご提案いたします。

  2. STEP

    2

    準備(3週間程度)

    <実施内容>
    スコープの確認・決定、対象情報確認、リスクの高い業務・機能の識別、実施準備

    スコープや対象システムの情報を確認し、必要に応じてヒアリングや事前調査を実施します。また、業務やシステムに関連するリスクを整理し、テスト準備(ツール整備など)を進めます。お客様には対象情報のご提供や社内調整をお願いし、当社では計画書やテスト項目案の作成、想定リスクの提示を行います。

  3. STEP

    3

    実施(1~2週間程度)

    <実施内容>
    攻撃対象システムへの偵察活動、ペネトレーションテストの実施

    事前調査の結果をもとに、対象システムへのペネトレーションテストを実施します。実施中は、万が一のトラブルに備えたリスクマネジメント体制を構築し、安全かつ効果的なテスト遂行を心がけます。

  4. STEP

    4

    報告

    <実施内容>
    確認された問題点の分析、対策・改善計画の策定

    テストで確認された脆弱性や問題点について分析を行い、対策・改善の方向性を含めた報告書を作成します。報告会を通じて内容をご説明し、今後のセキュリティ強化に向けたご支援をいたします。

実施シナリオ例

①社内OA端末の遠隔操作型マルウェア感染を起点とし、端末のローカル管理者権限奪取や他マシンへの侵入拡大を経て、社外への機密情報持出を行うシナリオ

まず、インターネット経由でお客様環境内のOA端末へマルウェアを配送/実行し遠隔で操作が可能かテストします。その後、感染端末上で高権限を奪取出来ないか、またテスト対象サーバへ感染端末起点で侵入出来ないかをテストします。最後に、どんな手段で、どんなファイルを社外に持ち出せるかを実際に試し、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。

penetration_test_1


②外部公開サーバの脆弱性・設定不備を悪用し、インターネット上から 公開サーバへ侵入。内部システムへの侵入拡大、社外への顧客情報持出を行うシナリオ

まず、インターネット公開されているWebサーバやVPNサーバなどに対して既知の脆弱性や設定不備の調査を行ったうえでこれらを悪用しインターネット経由で侵入します。その後お客様内部NWへ更に侵入し最終目標としたサーバ内の機密情報を取得し外部に持ち出すことが可能か実際に試し、外部公開サーバ起点の脅威に対するシステム面の耐性をチェックします。

penetration_test_2


③OA端末のみにフォーカスを充てた実施シナリオ例

企業のOA端末は、ウイルス感染やシステムへの不正侵入など、外部からの攻撃に加え、従業員による機密情報の持ち出しや、端末の紛失・盗難による情報漏洩といった、さまざまな脅威にさらされています。そのため、通常はこのような脅威による影響を低減、防止するため、情報の持ち出し制限や情報の暗号化などの複数のセキュリティ対策が導入されます。

しかし、想定された脅威や対策の有効性の検証不足、または設定の不備等によって、対策が有効に機能しておらず、悪用を許してしまう可能性があります。

弊社では、実施シナリオ例①に記載している「端末攻略」のみのフェーズを実施する形で、攻撃者視点でOA端末を実機テストしセキュリティ堅牢性を評価します。OA端末のOSをアップデート(例:Windows10からWindows11へのアップデート)したりリプレースを行うことによって、端末の設定に変更が伴う可能性がございます。このようなタイミングで当該シナリオを用いてテストすることで変更後の端末のセキュリティ堅牢性の評価が可能です。

pentest2発見される問題の例

・パスワードを推測して権限を奪取する
・アプリケーション関連ファイルから重要情報(認証
 情報)を取得する
・OSに存在する脆弱性を悪用して、管理者権限を奪う
・認証を回避して端末を操作する
・USBメモリへの書き出し制限を回避して、
 情報を持ち出しする
・ウイルス対策ソフトを強制的に停止する
・MDMによるコントロールを回避して、セキュリティ
 上問題のあるアプリケーションをインストールする

当社の「セキュリティ診断サービス」と「ペネトレーションテストサービス」

  • セキュリティ診断/ペネトレーションテストのサービスはいずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ目的が異なります。

  • ペネトレーションテストは評価観点や脅威分析の実施可否によりサービス名称がレッドチームオペレーションやTLPTなどに変わります。お客様の目的に併せたサービスをご選択ください。

 

セキュリティ診断

ペネトレーション
テスト

レッドチーム
オペレーション

TLPT

目的

システムやアプリの脆弱性の洗い出し

侵入攻撃に対するシステムのセキュリティ堅牢性の検証

実際の攻撃に対する組織全体のセキュリティ態勢の検証

企業・業界における特有の脅威実行者を模倣したサイバー攻撃に対するセキュリティ態勢の検証

概要

最新の攻撃事例/流行/各種公的なセキュリティ規格を考慮したセキュリティ診断

疑似サイバー攻撃による評価対象に対する侵入テスト

攻撃シナリオに基づく高度な疑似サイバー攻撃による侵入テスト、およびブルーチーム評価

外部脅威を考慮した攻撃シナリオに基づく高度な疑似サイバー攻撃による侵入テスト、およびブルーチーム評価

評価観点

システムやアプリ

システムやネットワーク

組織全体(サイバー・人・物理)
以下項目はスコープをサイバーに限定




設定不備/脆弱性検出

侵入試行

検知回避の試行

ブルーチーム評価

外部脅威収集・分析

プロジェクト期間

1ヶ月~

2.5ヶ月~

3ヶ月~

5ヶ月~

テスト期間

3営業日~

510営業日

5営業日~10営業日

5営業日~10営業日

テスト実施形態

オンサイト・リモート

オンサイト・リモート

オンサイト・リモート

オンサイト・リモート

留意事項

・期間については採用する攻撃シナリオ、テスト対象によって変動します。
・評価の特性上、セキュリティ診断以外については全ての脆弱性や設定不備などの検出について完全に保証するものではございません。

 

特長

当社ペネトレーションテストについては国際的な非営利団体であるCRESTからサービス認定を受けています。
また、当社ではOffensive Security社の資格(OSCP等)やGIAC,CARTP,GRTE等のペンテスト関連資格を保有しているペンテスト専任チームを中心とした体制で、十分な知識・実績を有するメンバによって実施されています。
pentest1

また、攻撃対象の選定や攻撃シナリオの構築については以下に示す4つの観点に立ち、お客様のご要望ヒアリングと近年の脅威動向を考慮して決定いたします。

●攻撃対象の選定や攻撃シナリオ構築に必要な4要素

①最終的な攻撃目標

■概要  攻撃者が目指すゴール
■ご提案 ドメイン管理者の掌握、疑似機微情報の持ち出し、ファイルサーバ暗号化

②攻撃者

■概要  攻撃者として想定する人物
■ご提案 外部の攻撃者、内部犯行者

③初期侵入地点

■概要  攻撃が開始される場所
■ご提案 OA端末のマルウェア感染、VPN機器への侵入

④侵入拡大経路

■概要  初期侵入地点から最終的な攻撃目標に至るまでの攻撃対象
■ご提案 他OA端末、Active Directory

ご参考:近年の脅威動向を考慮

pentest4

料金

800万円~(税別)

※お客様のご要望により実施内容(シナリオ)を作成し提供します。実施内容により金額は変動します。