脆弱性診断は、セキュリティベースライン(情報セキュリティの規格や基準)と照らし合わせてギャップがないか評価します。一方、ペネトレーションテストでは、脅威となるベクターを分析し、明確な意図を持った攻撃者がその目的を達成できるかどうかを調査・検証します。そのため、実際の攻撃に対する影響や被害、ネットワークやシステムの運用上の問題点などを可視化することが可能です。
お役立ち資料
攻撃者の視点でお客様の
システムや組織の安全性を評価
ユービーセキュアのペネトレーションテスト・TLPT(脅威ベースのペネトレーションテスト※)は、テスト対象となる“脅威”を想定し、攻撃者の⽬的に合わせた脅威シナリオを作成、現実世界で実際に起きている最新の攻撃⼿法を取り⼊れた攻撃⽅法を⽤いてテストを実施します。実際のサイバー攻撃で行われている「攻撃対象に合わせてカスタマイズされた攻撃」を再現するため、攻撃者の視点でテスト対象の安全性評価をすることが可能です。また、セキュリティリスクやシステム耐性、実際の被害につながる脆弱性を可視化することで、必要となるサイバーセキュリティ対策を講じることができます。
※ TLPTは、FISC(金融情報システムセンター)発刊「⾦融機関等におけるTLPT実施にあたっての⼿引書」の内容に沿ってサービスをご提供します。
脆弱性診断を受けているが、実際のハッカーが侵入できるか確認したい
(例:外部公開サイトに対するペネトレーションテスト)
脆弱性診断は、セキュリティベースライン(情報セキュリティの規格や基準)と照らし合わせてギャップがないか評価します。一方、ペネトレーションテストでは、脅威となるベクターを分析し、明確な意図を持った攻撃者がその目的を達成できるかどうかを調査・検証します。そのため、実際の攻撃に対する影響や被害、ネットワークやシステムの運用上の問題点などを可視化することが可能です。
リモートワーク環境を構築したが、社外の第三者から不正に侵入されないか確認したい
(例︓リモートワーク環境や社内OA環境に対するペネトレーションテスト)
新しく導入したリモートワーク環境や社内OA環境に対するペネトレーションテストを実施することで、侵入者にとって狙い目となるセキュリティ上の欠陥がないか評価します。侵入者目線であらゆる角度から調査・検証することで、どのようなセキュリティリスクがあるか現状把握し、効果的な対策と改善に活用できます。
侵入された場合の検知・対応力の高度化を図るため、現状を可視化したい
(例:脅威ベースのペネトレーションテスト~TLPT~)
サイバー攻撃の手口が高度化・巧妙化するとともに、明確な目的を持って執拗に特定の組織や企業を狙う攻撃が増大しています。組織・企業は、攻撃対応能力を高めるため、ネットワーク、クラウド、システム環境など自組織におけるセキュリティ対策が有効に機能するか、どのように問題点を発見できるかなどサイバー攻撃対応態勢を評価し、必要な対策を講じることが望まれます。攻撃時の防御・検知・対応状況と運⽤課題を検証することで、自組織における技術⾯・運⽤⾯のセキュリティリスクや課題を明確にすることが可能です。
豊富なセキュリティ診断経験をもつコンサルタントが、テスト対象やお客様のニーズに合わせた最適なテストプランをご提案します。
01
2007年の会社設立以来、多くの企業にセキュリティ診断を提供するユービーセキュアの技術とノウハウを集結し、検討した数百の脅威シナリオから、お客様の環境、資産に合った最適なシナリオを抽出します。事前調整・脅威分析にかかる時間とコストを圧縮することで、スピーディかつ広範囲をカバーしたペネトレーションテストサービスを提供します。
また、頻発する不正アクセス事件や新しい攻撃⽅法などの情報を常に収集し、脅威シナリオへ反映しています。最新の脅威動向や攻撃⼿法をサービスに取り込むことで、より現実的な状況を再現します。
02
ユービーセキュアのペネトレーションテストでは外部委託を⾏っておらず、すべての⼯程をユービーセキュアのコンサルタントが担当します。
OSCPやOSWP、GIAC、CEHなどペネトレーション関連のセキュリティ資格保有者がテストを実施・対応します。
03
幅広いテストプランに
柔軟に対応
お客様にて分析・設定した脅威シナリオや、対象システムにおいて汎⽤的に該当するシナリオをベースにペネトレーションテストを実施することも可能です。
物理⾯からクラウド環境に対するテストまで幅広く対応しておりますので、まずはお気軽にお問い合わせください。
まずは弊社にお気軽にお問い合わせください。
弊社担当者が貴社の課題やニーズのヒアリングを行い、診断対象範囲やスケジュールの認識合わせを実施します。
対象範囲やスケジュール、ご予算をもとに最適なテストプランをご提案します。
ペネトレーションテスト | TLPT | 脆弱性診断(参考) | |
---|---|---|---|
目的 |
対象となるシステムや組織を分析して、脅威となる攻撃者の行動と目標を定め、実現しうるシナリオをもとにリスクを評価する |
オープンソース等から収集・分析した情報をもとに実現しうる攻撃シナリオをシミュレーションすることで、組織の防衛態勢を評価する |
網羅的にシステム全体の脆弱性を洗い出す |
アプローチ方法 |
リスクベース |
脅威シナリオベース |
ベースライン |
評価対象 |
システム・組織・プロセス |
システム・人・組織・プロセス |
システム |
テスト方法 |
様々な攻撃手法を用いて攻撃目標が達成可能かテストし、対象組織やシステムを脅かす課題を明確にする |
役割を明確にしたチームに分かれて攻撃シナリオをシミュレーションし、対象組織における技術面、人、組織、プロセスにおける課題を可視化する |
情報セキュリティ基準や規格に照らし合わせて評価する |
01
脅威分析・リスク評価
(省略可能)
02
テスト実施・結果分析
03
報告
01
シナリオ構築
02
テスト実施・結果分析
03
報告
特徴
役割分担
TLPTでは、防御チーム・攻撃チーム・テスト統括チームの計3つのチームに分かれて実施します。「防御チーム」と「テスト統括チーム」はお客様です。「攻撃チーム」と、「テスト統括チーム」の運営⽀援を弊社が担当します。
役割を明確にすることで、テスト実施時のコミュニケーションを円滑にするとともに、テストに関連する情報を共有する範囲が定まり、「防御チーム」にテスト実施の⽇時や内容を知らせずに無予告で実施することが可能です。
01
実態に即した
具体的な対策案を提示
⼀般的な対策案では、汎用的な内容となり、実際の対象システムや運⽤状況への適⽤が困難な場合があります。
ユービーセキュアでは、対象システムや運⽤状況に合わせた具体的な対策案を提示し、対策にあたってのご質問を承ります。これにより、実態に即した対策をスムーズに進めることができます。
02
対策方針の判断に
活用できる情報を提供
対策案には「推奨度」だけでなく、対策実施を検討する上で重要な要素となる「対策導⼊コスト」や「ユーザ影響」もあわせて記載します。対策実施にかかるコストや工数の指標を記載することで、対策実施の優先度づけやタスクの整理に活⽤できます。
03
対策実施後も
手厚いフォローで伴走
対策実施後、対策が有効に機能しているかを確認できて初めて対策完了となります。対策実施後に対策の有効性を確認する再現テストを無料で実施します。
また、ご要望に応じてPoCコードや再現⼿順をご提⽰します。これにより、お客様自身で再現テストを実施することが可能です。
【提供価格】
個別見積り
【価格例】
脅威ベースのペネトレーションテスト(TLPT) :8,500,000円(税込 9,350,000円)
リモートワーク環境に対するペネトレーションテスト :4,800,000円(税込 5,280,000円)
外部ペネトレーションテスト (お客様指定シナリオのみ) :2,000,000円(税込 2,200,000円)
本サービスは内容に応じた個別見積りとなります。
価格等・詳しい内容については、下記の問い合わせフォームからお問い合わせください。
実施目的とアプローチが異なります。脆弱性診断は、網羅的にシステム全体の脆弱性を洗い出すことを目的としたベースラインアプローチです。一方、ペネトレーションテストは、攻撃者の行動と目標を定め、その目標が達成できるかどうかをシナリオに基づいて評価することを目的としたリスクベースアプローチです。
対応可能です。まずはフォームよりお気軽にご相談ください。
基本的には、どのような攻撃で目的を達成できたかを中心にご報告します。また、テストの過程で発見した問題点に関しても合わせてご報告します。