Penetration Testing
ペネトレーションテスト・TLPT

web-app-img06

攻撃者の視点でお客様の
システムや組織の安全性を評価

ユービーセキュアのペネトレーションテスト・TLPT(脅威ベースのペネトレーションテスト)は、テスト対象となる“脅威”を想定し、攻撃者の⽬的に合わせた脅威シナリオを作成、現実世界で実際に起きている最新の攻撃⼿法を取り⼊れた攻撃⽅法を⽤いてテストを実施します。実際のサイバー攻撃で行われている「攻撃対象に合わせてカスタマイズされた攻撃」を再現するため、攻撃者の視点でテスト対象の安全性評価をすることが可能です。また、セキュリティリスクやシステム耐性、実際の被害につながる脆弱性を可視化することで、必要となるサイバーセキュリティ対策を講じることができます。

※ TLPTは、FISC(金融情報システムセンター)発刊「⾦融機関等におけるTLPT実施にあたっての⼿引書」の内容に沿ってサービスをご提供します。

無料で相談する

こんな課題ありませんか?

脆弱性診断を受けているが、実際のハッカーが侵入できるか確認したい

脆弱性診断を受けているが、実際のハッカーが侵入できるか確認したい

(例:外部公開サイトに対するペネトレーションテスト)

脆弱性診断は、セキュリティベースライン(情報セキュリティの規格や基準)と照らし合わせてギャップがないか評価します。一方、ペネトレーションテストでは、脅威となるベクターを分析し、明確な意図を持った攻撃者がその目的を達成できるかどうかを調査・検証します。そのため、実際の攻撃に対する影響や被害、ネットワークやシステムの運用上の問題点などを可視化することが可能です。

リモートワーク環境を構築したが、社外から侵入されないか確認したい

リモートワーク環境を構築したが、社外の第三者から不正に侵入されないか確認したい

(例︓リモートワーク環境や社内OA環境に対するペネトレーションテスト)

新しく導入したリモートワーク環境や社内OA環境に対するペネトレーションテストを実施することで、侵入者にとって狙い目となるセキュリティ上の欠陥がないか評価します。侵入者目線であらゆる角度から調査・検証することで、どのようなセキュリティリスクがあるか現状把握し、効果的な対策と改善に活用できます。

侵入された場合の検知・対応力の高度化を図るため、現状を可視化したい

侵入された場合の検知・対応力の高度化を図るため、現状を可視化したい

(例:脅威ベースのペネトレーションテスト~TLPT~)

サイバー攻撃の手口が高度化・巧妙化するとともに、明確な目的を持って執拗に特定の組織や企業を狙う攻撃が増大しています。組織・企業は、攻撃対応能力を高めるため、ネットワーク、クラウド、システム環境など自組織におけるセキュリティ対策が有効に機能するか、どのように問題点を発見できるかなどサイバー攻撃対応態勢を評価し、必要な対策を講じることが望まれます。攻撃時の防御・検知・対応状況と運⽤課題を検証することで、自組織における技術⾯・運⽤⾯のセキュリティリスクや課題を明確にすることが可能です。

ユービーセキュアのサービスの特長

豊富なセキュリティ診断経験をもつコンサルタントが、テスト対象やお客様のニーズに合わせた最適なテストプランをご提案します。

01

あらゆる攻撃手法や
観点・状況に対応

2007年の会社設立以来、多くの企業にセキュリティ診断を提供するユービーセキュアの技術とノウハウを集結し、検討した数百の脅威シナリオから、お客様の環境、資産に合った最適なシナリオを抽出します。事前調整・脅威分析にかかる時間とコストを圧縮することで、スピーディかつ広範囲をカバーしたペネトレーションテストサービスを提供します。
また、頻発する不正アクセス事件や新しい攻撃⽅法などの情報を常に収集し、脅威シナリオへ反映しています。最新の脅威動向や攻撃⼿法をサービスに取り込むことで、より現実的な状況を再現します。

02

高度セキュリティ
資格保有者が対応

ユービーセキュアのペネトレーションテストでは外部委託を⾏っておらず、すべての⼯程をユービーセキュアのコンサルタントが担当します。
OSCPやOSWP、GIAC、CEHなどペネトレーション関連のセキュリティ資格保有者がテストを実施・対応します。

03

幅広いテストプランに
柔軟に対応

お客様にて分析・設定した脅威シナリオや、対象システムにおいて汎⽤的に該当するシナリオをベースにペネトレーションテストを実施することも可能です。
物理⾯からクラウド環境に対するテストまで幅広く対応しておりますので、まずはお気軽にお問い合わせください。

ペネトレーションテストの内容について詳しく知りたい方はお気軽にご相談ください。

無料で相談する

サービス全体の流れ(共通)

まずは弊社にお気軽にお問い合わせください。
弊社担当者が貴社の課題やニーズのヒアリングを行い、診断対象範囲やスケジュールの認識合わせを実施します。
対象範囲やスケジュール、ご予算をもとに最適なテストプランをご提案します。

Step1

弊社へのお問い合わせ

弊社への
お問い合わせ

Step2

貴社の課題・ニーズのヒアリング

貴社の課題・ニーズのヒアリング

最適なテストプランのご提案

Step3

ご契約

ご契約

準備

Step4

診断実施

テスト実施

ご報告

前提条件

  • 業務遂行の目的で弊社がお客様のコンピュータネットワークの対象ホストへアクセスすること、及び弊社のペネトレーションテスト用ソフトウェア等を使用し対象ホストに影響を及ぼす可能性があることを予め包括的に承諾していただくこと。
  • 本ペネトレーションテスト業務が対象ホストについて、全てのセキュリティホールを見つけ出すことを保証するものではないことを承諾し、本ペネトレーションテスト業務によっても発見されなかったセキュリティホールによりお客様(第三者を含む)に損害が発生したとしても、当該損害につき弊社に一切の責がないことに承諾していただくこと。
  • お客様の従業員等が、弊社が実施する本ペネトレーションテスト業務を弊社以外の第三者による不正アクセスと誤認し、コンピュータ緊急対応センター又は警察への通報、報道機関への公表をしたことにより、お客様(お客様の役員及び従業員を含む)又は第三者に損害が発生したとしても、弊社の故意又は重過失によるものでない限り、当該損害について弊社に一切の責がないことを承諾して頂くこと。
  • 本ペネトレーションテスト業務の実施に関連して、お客様(お客様の役員及び従業員を含む)又は第三者に損害が発生したときは、弊社は本ペネトレーションテスト業務の受託費用を上限として損害賠償責任を負うものとする。
  • 本ペネトレーションテスト業務遂行上生じた新たな発明、考案、著作物についての特許権、実用新案権、著作権(著作権法第21条から第28条に定める全ての権利を含む)その他一切の知的財産権は全て弊社に帰属すること。

ペネトレーションテストとTLPTの違い

  ペネトレーションテスト TLPT 脆弱性診断(参考)
目的

対象となるシステムや組織を分析して、脅威となる攻撃者の行動と目標を定め、実現しうるシナリオをもとにリスクを評価する

オープンソース等から収集・分析した情報をもとに実現しうる攻撃シナリオをシミュレーションすることで、組織の防衛態勢を評価する

網羅的にシステム全体の脆弱性を洗い出す

アプローチ方法

リスクベース

脅威シナリオベース

ベースライン

評価対象

システム・組織・プロセス

システム・人・組織・プロセス

システム

テスト方法

様々な攻撃手法を用いて攻撃目標が達成可能かテストし、対象組織やシステムを脅かす課題を明確にする

役割を明確にしたチームに分かれて攻撃シナリオをシミュレーションし、対象組織における技術面、人、組織、プロセスにおける課題を可視化する

情報セキュリティ基準や規格に照らし合わせて評価する

ペネトレーションテストの3つのステップ

01

脅威分析・リスク評価
(省略可能)

  • お客様の環境や対象となるシステムに合わせて情報資産・データフロー・機能・アクターなどを整理し脅威を分析
  • 脅威分析後は、それぞれの脅威のリスク評価を⾏い、実施対象とする脅威シナリオを選定・作成(※)
    ※お客様にて分析・設定した脅威シナリオや、対象システムにおいて汎⽤的に該当するシナリオをベースにペネトレーションテストを実施することも可能です

02

テスト実施・結果分析

  • 脅威シナリオをベースに、現実世界で起きている実際の攻撃⼿法を⽤いてペネトレーションテストを実施
  • 設定した脅威シナリオ上の攻撃者の⽬的が達成できてしまったかどうか、また、お客様側で攻撃を検知・対応できたかなどの結果を確認・分析

03

報告

  • 結果をわかりやすい報告書にまとめて報告
  • 担当技術者による報告会を開催

脅威ベースのペネトレーションテスト(TLPT)の3つのステップ

01

シナリオ構築

  • 対象システムにおける情報資産・データフロー・機能・アクターなどのシステム情報と、現実世界で起きている脅威情報から、脅威インテリジェンスの導出とシナリオ仕様の作成を実施

02

テスト実施・結果分析

  • 「シナリオ構築」ステップで作成したシナリオ仕様を基に、ペネトレーションテストの詳細計画およびリスク管理計画を作成
  • 本番業務影響を最⼩限に留めるようコントロールされた状態で安全にペネトレーションテストを実施
  • サイバー攻撃タイムラインを記録し、テスト実施後の防御・検知・対応状況の確認に使⽤
  • 設定したシナリオ上の攻撃者の⽬的が達成できてしまったかどうか、お客様側で攻撃を検知・対応できたか、運⽤課題有無などの結果を確認・分析

03

報告

  • 結果をわかりやすい報告書にまとめて報告
  • 担当技術者による報告会を開催

TLPT(脅威ベースのペネトレーションテスト)

脅威ベースのペネトレーションテスト(Threat-Led Penetration Testing)は、テスト対象企業ごとに脅威を分析し、
個別にカスタマイズしたシナリオに基づく実践的な侵⼊テストです。

特徴

  1. 組織におけるサイバー攻撃の防御態勢評価と強化を目的として、実環境に対するサイバー攻撃のシミュレーションを実施
  2. オープンソース等から調査した「脅威インテリジェンス(脅威情報)」を基に、テスト対象組織が現実に直⾯するおそれのあるサイバー攻撃を分析し、「脅威シナリオ」を作成
  3. 「脅威シナリオ」を基に、攻撃側は検知されることなく目的達成することを目指し、防御側は現実のサイバー攻撃同様に防御・検知・対応を実施
  4. サイバー攻撃に対する防御・検知・対応結果を確認し、⼈・組織・プロセスにおける課題を可視化

役割分担

体制図TLPTでは、防御チーム・攻撃チーム・テスト統括チームの計3つのチームに分かれて実施します。「防御チーム」と「テスト統括チーム」はお客様です。「攻撃チーム」と、「テスト統括チーム」の運営⽀援を弊社が担当します。

役割を明確にすることで、テスト実施時のコミュニケーションを円滑にするとともに、テストに関連する情報を共有する範囲が定まり、「防御チーム」にテスト実施の⽇時や内容を知らせずに無予告で実施することが可能です。

  •  テスト統括チーム(White Team) 
    ペネトレーションテストにおける「防御チーム」および「攻撃チーム」への指⽰・監督や、テストにおけるリスク管理、「防御チーム」と「攻撃チーム」間の調整等。
  •  防御チーム(Blue Team) 
    セキュリティ維持および攻撃の検知・防御・対応。テスト実施後の対応結果の確認をタイムラインに沿って実施。
  •  攻撃チーム(Red Team) 
    脅威分析・攻撃シナリオの作成およびテスト詳細計画の作成、ペネトレーションテスト等の実施とサイバー攻撃タイムラインの作成など。

防御態勢評価における
ユービーセキュアならではの3つのポイント

01

実態に即した
具体的な対策案を提示

⼀般的な対策案では、汎用的な内容となり、実際の対象システムや運⽤状況への適⽤が困難な場合があります。
ユービーセキュアでは、対象システムや運⽤状況に合わせた具体的な対策案を提示し、対策にあたってのご質問を承ります。これにより、実態に即した対策をスムーズに進めることができます。

02

対策方針の判断に
活用できる情報を提供

対策案には「推奨度」だけでなく、対策実施を検討する上で重要な要素となる「対策導⼊コスト」や「ユーザ影響」もあわせて記載します。対策実施にかかるコストや工数の指標を記載することで、対策実施の優先度づけやタスクの整理に活⽤できます。

03

対策実施後も
手厚いフォローで伴走

対策実施後、対策が有効に機能しているかを確認できて初めて対策完了となります。対策実施後に対策の有効性を確認する再現テストを無料で実施します。
また、ご要望に応じてPoCコードや再現⼿順をご提⽰します。これにより、お客様自身で再現テストを実施することが可能です。

報告書イメージ

TLPT_わかりやすい報告書
わかりやすい結果報告書
  • 全体およびシナリオ毎の結果が簡明に分かる総評および評価
  • 具体的にどこにどのような攻撃手法を適用したか、テスト時の偵察・攻撃・目的達成までの一連の流れを明記
  • 詳細に検出事項・想定被害・対策方法を記載
TLPT_対策に取り組みやすい豊富な参考情報
対策に取り組みやすい豊富な参考情報
  • テスト対象システムや運用状況に合わせた具体的な対策案を提示
  • 対策案には、「推奨度」に加えて「対策導入コスト」や「ユーザ影響」など対策実施に係るコストや工数の指標を記載
  • エクスプロイト(脆弱性を利用して攻撃する手段)による攻撃成功時には、PoCコード(実証用のプログラムコード)を記載することで、お客様による事象および対策後の確認が可能

ご提供価格

【提供価格】
 個別見積り

【価格例】
 脅威ベースのペネトレーションテスト(TLPT)         :8,500,000円(税込 9,350,000円)
 リモートワーク環境に対するペネトレーションテスト    :4,800,000円(税込 5,280,000円)
 外部ペネトレーションテスト (お客様指定シナリオのみ) :2,000,000円(税込 2,200,000円)

本サービスは内容に応じた個別見積りとなります。
価格等・詳しい内容については、下記の問い合わせフォームからお問い合わせください。

よくある質問

Q1. 脆弱性診断とペネトレーションテストの違いは?

実施目的とアプローチが異なります。脆弱性診断は、網羅的にシステム全体の脆弱性を洗い出すことを目的としたベースラインアプローチです。一方、ペネトレーションテストは、攻撃者の行動と目標を定め、その目標が達成できるかどうかをシナリオに基づいて評価することを目的としたリスクベースアプローチです。

Q2. 物理セキュリティやソーシャルエンジニアリングは対応可能ですか?

対応可能です。まずはフォームよりお気軽にご相談ください。

Q3. 報告はどのような内容でしょうか?

基本的には、どのような攻撃で目的を達成できたかを中心にご報告します。また、テストの過程で発見した問題点に関しても合わせてご報告します。

Q4. TLPTにおける「脅威インテリジェンス調査」のみの依頼は可能ですか?

はい、可能です。

サービス紹介ページはこちらです。
詳細は、下記フォームより、お問い合わせください。