ペネトレーションテストサービス

サイバー攻撃では、攻撃の対象となる組織やその目的に合わせた手段が講じられます。有事の被害を最小化するためには、自組織が攻撃の標的となった際にどのような影響を受け、どの程度のリスクが存在するかを検証し、対策を検討することが望まれます。

※NRIセキュアはCRESTより「CREST Accredited Company Providing Penetration Testing」に認定されています。

実施目的・概要：疑似攻撃でシステムへの影響を調査

「ペネトレーションテストサービス」では、「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」、「セキュリティ診断などで発見されたシステムの問題点（脆弱性）を悪用された場合にどの程度の被害に繋がるか」を確認、検証するために、攻撃者目線でお客様のシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行います。

実施に当たっては、当社コンサルタントが対象組織（企業）のネットワーク構成やシステム、業務環境、重要情報の取り扱いについてヒアリング、過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を攻撃者目線で検討した上で取り組みます。

ペネトレーションテストサービス実施行程

①目標設定

「ペネトレーションテストサービス」の実施目的（対象、ゴール）をお客様とご相談の上で設定します。

②調査

目標に向けて、お客様がインターネットに公開しているサーバ、OA環境の構成などの調査を行い、攻撃シナリオを組み立てます。
※既に攻撃に必要な情報が整理されている場合には、侵入工程から実施させていただく場合があります。

③侵入

・インターネット公開環境

Webアプリケーションからの情報窃取、リモートアクセス経路への不正ログインなど、インターネットに公開されているシステムの脆弱性を悪用し、攻撃を実施します。

・組織の内部環境

OA端末への攻撃（感染拡大）、基幹システムへの侵入、重要情報の持出など、マルウェア感染を想定した攻撃を実施します。

※設定した目標により調査と侵入を繰り返し実施します。 
※対象とする環境によっては、事前にセキュリティ診断を実施する場合があります。

組織の内部環境での実施シナリオ例

①社外攻撃サーバから社内のOA端末の遠隔操作に関する検証

インターネット経由でお客様環境内のOA端末を操作可能か、疑似マルウェアを利用してチェックします。また、どんな手段で、どんなファイルを社外に持ち出せるかを実際に試し、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。

②マルウェア感染を前提とした社内への侵入検証

お客様環境内でマルウェア感染が発生しことを想定して、重要情報を窃取可能であるか、攻撃者と同様の侵入行為を実際に試すことで、マルウェア感染後の脅威に対するシステム面の耐性をチェックします。

当社の「セキュリティ診断サービス」と「ペネトレーションテストサービス」の違い

双方のサービスはいずれもシステムの安全性向上に寄与する内容ではありますが、それぞれ以下の内容をご提供します。お客様のご要望に応じて双方を組み合わせてご提案します。

セキュリティ診断

Webアプリケーション、プラットフォームなど、システムを構成する各要素に注目して安全性を確認し、脆弱性を洗い出す。

ペネトレーションテスト

攻撃事例や脅威動向を踏まえ、システム全体としての耐性を評価する。
セキュリティ診断で発見された脆弱性による影響を検証する。

特長

・セキュリティ診断、サイバーアタックシミュレーション（侵入検証サービス）を通じて得た攻撃観点
・脅威動向の調査活動（インテリジェンス）に精通したコンサルタントによる、最新の脅威を踏まえた分析が可能
・PCI DSS準拠・維持の支援を通じて得たサービス提供ノウハウ、2011年から脅威ベースのアセスメントサービスを提供してきた実績

料金

700万円～（税別）

※お客様のご要望により実施内容（シナリオ）を作成し提供します。実施内容により金額は変動します。