NECセキュリティ
Breadcrumb navigation
ペネトレーションテスト
テクノロジーコンサルティング現実のサイバー攻撃の手法を模擬し、攻撃目的への耐性を評価するサービス概要
ペネトレーションテストは、事前に定めた攻撃目的を達成するための現実のサイバー攻撃を模擬し、それらの攻撃に対する耐性を評価するサービスです。
事前に定めた期間における、攻撃目的に対する耐性(攻撃目的達成の容易さの程度)、ならびにテスト中に検出したセキュリティ上の問題を報告します。
サービスの特長
事前に攻撃目的(侵入など)、テスト対象の範囲、テスト期間を定め、テスト期間内に現実のサイバー攻撃の手法を模擬した方法で攻撃目的をどの程度達成可能かを評価します。
テストでは、公開情報を調査するほか、テスト対象範囲として許可をされた対象に疑似攻撃を行い、そこから得られた脆弱性などの事象を状況に応じて組合せ、攻撃目的の達成を目指します。
事前に定めた期間において攻撃目的の達成がどの程度容易であるか、ならびに、その過程で検出された事象に対して、攻撃目的の達成にどの程度寄与するかという観点でリスク評価をして報告します。
対象
評価の対象は、事前に定めた攻撃目的に対する耐性となりますが、攻撃目的を達成するために、関連するシステムコンポーネントに対する疑似攻撃を必要とする場合があります。この疑似攻撃が許可された範囲をテスト対象範囲として事前にご設定いただきます。
たとえば攻撃目的がウェブサーバの侵入であっても、テスト対象範囲として関連する別のサーバーを含む場合があります。
実施環境
想定する攻撃シナリオにもとづき、テストの費用対効果が期待できる環境を設定します。次のいずれか、あるいは、両方を組み合わせることもあります。
- インターネット経由のリモートテスト
- お客様オフィス(データセンター等を含む)に訪問し、現地にて実施するオンサイトテスト
ペネトレーションテスト実施により明確になるセキュリティ懸案事項
- サイバー攻撃による特定の攻撃目的の達成が、現実的にどの程度容易であるか
- 検出された脆弱性の現時点で想定される影響はどの程度であるか
- 複数の事象の組み合わせにより、より大きな影響を与え得るか
- 個別の診断サービスのスコープ境界に影響を与える問題が存在するか
診断項目
事前に定めた攻撃目的やシナリオをもとに、ウェブアプリケーションセキュリティ診断やネットワークセキュリティ診断で用いられる手法で脆弱性を特定し、状況に応じてそれらを組み合わせて疑似攻撃を行い、影響を評価します。また、システムの脆弱性を突くことに加え、実際の攻撃で行われる、総当たり攻撃などの疑似攻撃の評価も行います。
その他のセキュリティ診断サービスとの特長の違い
他のセキュリティ診断サービスでは、診断対象におけるセキュリティ上の問題点(ベストプラクティスとのギャップ)について、テスト項目や検出箇所の網羅性を重視したサービスです。
対して、ペネトレーションテストでは、事前に定めた期間内に攻撃目的を達することを優先します。特定された問題点がどの程度攻撃目的の達成に寄与するかをより深く分析することや、テスト範囲や手法を他のサービスより広く設定することが特長のサービスです。
導入フロー
| 1 | 事前打ち合わせ
|
|---|---|
| 2 | テスト実施 ※テスト開始、終了時には弊社より適宜連絡を行います。 |
| 3 | 報告書作成
|
| 4 | 報告会実施
|
- ※サービス申込み時に機密保持契約を締結します。
- ※報告書提出から2週間、Q&A対応期間を設けています。