内部ペネトレーションテスト PDF資料ダウンロード
内部ペネトレーションテストのPDF資料をダウンロードしていただけます。
サイバーセキュリティ対策をご検討の際に、ぜひご活用ください。
内部ペネトレーションテストは、組織内部からの視点で、ネットワークやシステムのセキュリティを模倣攻撃しテストします。
組織内部からの攻撃や不正アクセスに対する弱点を特定し、修正することが主な目的です。
従業員や内部ユーザーが意図的な悪意ではなく、無自覚の状態でセキュリティ上の問題を引き起こす可能性があります。
また、明確な目的を持った攻撃者により、どの程度その目的が達成される恐れがあるかの検証も行います。
ある特定のシナリオに則って調査を実施し、組織のサイバー攻撃対策における課題を明らかにします。
このテストでは、内部ネットワークセグメンテーション、アクセス権の管理、従業員のセキュリティ意識などが評価されます。組織内部からの攻撃からの防御策の有効性を確認し、内部の脅威に対処するための措置を提案するのに役立ちます。
内部ペネトレーションテストの結果は、組織が内部からの脅威にどれだけ備えているかを評価し、セキュリティ強化策を実施するための情報を提供します。これにより、情報セキュリティを向上させ、潜在的なリスクを軽減するための手段を見つけることができます。
よくあるテストケースをベースとし、最低限の工数でテストを設計いたします。
お客様のご要望に応じ、テスト内容を一から設計いたします。
攻撃起点 |
マルウェアに感染したことを想定する、組織内の特定の端末 1台 ※弊社調査員が、オンサイトにて直接操作、あるいは、TeamViewerなどのリモートアクセス製品を用いて遠隔から操作します ※実際にマルウェアに感染させるわけではありません |
---|---|
攻撃目的 |
下記観点で、攻撃時に悪用されうる組織内のセキュリティ上の課題を、テスト期間内に可能な 限り多く検出し、評価すること
|
調査手順 |
起点となる端末に、必要最小限のツールを導入した上で、下記項目について調査を実施します。 Step.1 C&Cサーバーとの通信に関する課題の把握
|
禁止事項 |
※その他、ご要望に応じて追加いたします |
調査起点から組織のネットワーク内の各セグメントに対し、ポートスキャン、サービススキャンを実施し、攻撃者が悪用する傾向にあるポート、サービスを検出可能か確認します。
例:FTP、MySQL、RDPなど
サービスに危険度の高い脆弱性が残存していないか、デフォルトの認証情報を利用していないかなどを確認します。調査起点からアクセス可能な範囲において、個人情報や各種サービスの認証情報など、機密性の高い情報を検出可能か確認します。
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えています。
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明し、改修に必要な対策方法を詳細に記載することで、Webサイトのセキュリティレベルを高めることに役立ちます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心して頂ける丁寧なプロジェクト進行を心がけます。
弊社は、サイバーセキュリティ分野での専門的なソリューションサービスを提供しており、問題解決の豊富な経験があります。
必要に応じて脆弱性診断を実施し、社内運用ルールの整備などお客様の策定も行えます。
他社では対応が避けられやすいオンサイトでの調査についても柔軟に対応しています。
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
お任せ
ください!
コストを抑えたサービス提供
一般的なペネトレーションテストでは、要件定義の段階から数ヶ月もの時間をかける場合がほとんとであり、数百万円から数千万円の費用がかかるケースも珍しくありません。弊社では、パッケージプランをご用意することにより、要件定義やテスト設計などにかかる工数を削減。これにより、短期間かつ安価にペネトレーションテストをご提供可能です。
ツールのみの診断
ツール診断では、得意・不得意がある
お任せ
ください!
セキュリティベンダーで培った知見
弊社は外注等は一切使っておらず、自社スタッフのみで調査を実施します。
ペネトレーションテストの担当者だけでなく、インフラエンジニアやフォレンジック調査員など、様々なスタッフの知見を活用してシナリオを構築する事で、多様な状況を想定した、適切なテストをご提供します。
また、オンサイトでの調査も可能です。
詳細な報告書
目的を達成し、そのエビデンスをお渡しして終了ではなく、何故そのエビデンスまで到達できたかを一つ一つ報告書に記載し、それぞれの改善案もお伝えします。
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
項目 | 説明 |
---|---|
ポートスキャン | ネットワーク内のポートをスキャンし、開いているポートとそれに関連するサービスを特定する。 |
サービススキャン | サービスおよびアプリケーションのバージョン情報を取得し、既知の脆弱性を特定する。 |
認証情報の評価 | デフォルトの認証情報や弱いパスワードの使用を確認し、不正アクセスのリスクを評価する。 |
プロトコル評価 | 使用されているネットワークプロトコルや通信の暗号化を評価し、セキュリティのリスクを特定する。 |
脆弱性スキャン | システムおよびアプリケーションに対して脆弱性スキャンを実施し、既知の脆弱性を特定し、リスク評価を行う。 |
不正アクセスの検出 | 異常なアクセスや認証の試行を検出し、不正なアクティビティに対する警告や対応を評価する。 |
データ漏えいの検出 | 機密データや個人情報の不正なアクセスや転送を検出し、データ漏えいのリスクを特定する。 |
セキュリティポリシーと規制順守 | 組織のセキュリティポリシーと規制順守要件を確認し、適合性を評価し、不適合な領域を特定する。 |
社内トレーニング評価 | 従業員のセキュリティ意識とトレーニングの効果を評価し、社内トレーニングの改善を提案する。 |
セキュリティインシデント応答 | セキュリティインシデントへの対応能力を評価し、インシデント検出から対応までのプロセスを確認する。 |
物理セキュリティ評価 | 物理的なアクセス制御、セキュリティカメラ、ドア制御などの物理セキュリティ対策を評価し、脆弱性を特定する。 |
調査目的やゴール、調査対象など、テスト設計を行う上で必要となる情報をヒアリングいたします。
必要事項を記載し、注文書の送付をお願いいたします。
いただいた要件に応じ、テスト設計を行います。
テスト設計の内容に問題がなければ、ご契約の上、テスト準備に取り掛かります。
テストで利用する端末やツールなどの準備を行います。
テストのシナリオによっては、お客様側で端末やアカウントなどをご準備いただく必要がある場合もございます。
テスト設計の内容に従い、実際に攻撃を実施します。
システムの状態に大きく影響を与える恐れのある攻撃を実施する場合には、ご担当者様に連絡の上、許可なく攻撃を実施することはありません。
調査結果を取りまとめた報告書をご提供します。
必要に応じ、報告会や、アフターサポートなども実施いたします。
品質を妥協せず、経験豊富なエンジニアがセキュリティの不安を解消します。