セキュリティ診断/ペネトレーションテスト内部ペネトレーションテストとは
内部ペネトレーションテストは、組織内部からの視点で、ネットワークやシステムのセキュリティを模倣攻撃しテストします。
組織内部からの攻撃や不正アクセスに対する弱点を特定し、修正することが主な目的です。
従業員や内部ユーザーが意図的な悪意ではなく、無自覚の状態でセキュリティ上の問題を引き起こす可能性があります。
また、明確な目的を持った攻撃者により、どの程度その目的が達成される恐れがあるかの検証も行います。
ある特定のシナリオに則って調査を実施し、組織のサイバー攻撃対策における課題を明らかにします。
このテストでは、内部ネットワークセグメンテーション、アクセス権の管理、従業員のセキュリティ意識などが評価されます。組織内部からの攻撃からの防御策の有効性を確認し、内部の脅威に対処するための措置を提案するのに役立ちます。
内部ペネトレーションテストでわかること
内部ペネトレーションテストの結果は、組織が内部からの脅威にどれだけ備えているかを評価し、セキュリティ強化策を実施するための情報を提供します。これにより、情報セキュリティを向上させ、潜在的なリスクを軽減するための手段を見つけることができます。
- 内部システムの脆弱性
- 不正アクセスや権限の乱用の可能性を評価
- 組織内の機密データへのアクセスの可能性を評価
- セキュリティポリシーと規制順守
- 社内の従業員が不正なリクエストに対してどれだけ慎重かを評価
- セキュリティインシデントが発生した場合の組織の対応能力
弊社は外部ペネトレーションテストまでワンストップで対応可能です。
詳しくは「外部ペネトレーションテスト」ページをご覧ください。
内部ペネトレーションテストプランの一覧
パッケージプラン
よくあるテストケースをベースとし、最低限の工数でテストを設計いたします。
実施を推奨するお客様像
- ペネトレーションテストがどのようなものかを、とりあえず体験してみたいお客様
メリット
- 少ない準備期間、コストでペネトレーションテストをご体験いただける
デメリット
- テストの細かな調整ができないため、期待するアウトプットが得られない恐れがある
カスタムプラン
お客様のご要望に応じ、テスト内容を一から設計いたします。
実施を推奨するお客様像
- 明確に実施したいテストがあるお客様
メリット
- テストの細かな設計が可能なため、お客様のご期待に沿ったアウトプットが得やすい
デメリット
- 要件定義や設計にかかる工数がかさむため、コストが高くなりやすい
パッケージプランで想定するテストケース
攻撃起点 | マルウェアに感染したことを想定する、組織内の特定の端末 1台 ※弊社調査員が、オンサイトにて直接操作、あるいは、TeamViewerなどのリモートアクセス製品を用いて遠隔から操作します ※実際にマルウェアに感染させるわけではありません |
---|---|
攻撃目的 | 下記観点で、攻撃時に悪用されうる組織内のセキュリティ上の課題を、テスト期間内に可能な 限り多く検出し、評価すること
|
調査手順 | 起点となる端末に、必要最小限のツールを導入した上で、下記項目について調査を実施します。 Step.1 C&Cサーバーとの通信に関する課題の把握
|
禁止事項 |
※その他、ご要望に応じて追加いたします |
カスタムプランの例
お客様ご要望
- 昨今における、VPN経由でのランサムウェア感染事例の増加を受け、もし攻撃者がVPNから侵入した場合に、組織の端末を管理しているActive Directory(AD)が乗っ取られる恐れがあるかを検証したい
- また、VPNからADまでの経路に、IDS/IPSを導入しているが、その有無により攻撃の成否が変わるのかも検証したい
ご提案カスタムプラン例
- VPN接続後の環境を起点として、ADへの脆弱性調査、および、PoC、エクスプロイトを実際に実行
- テストをIDS/IPSのオン/オフに合わせて二段階に分け、それぞれで同様の攻撃を実施し、その結果に差異が生まれるかを検証
お客様ご要望
- 業務用端末の数が多く、Windows Updateを実施するとネットワーク負荷がかかり、業務に支障が出る。
- これを避けるため、Windows Updateを強制するような設定、運用は行っておらず、それにより、業務用端末には脆弱性が多く残存していることを認識している。
- 今後の運用を見直すにあたり、実際のところ、権限昇格などの攻撃が成功する恐れがあるのかを検証したい。
ご提案カスタムプラン例
- 実際に利用されている業務用端末をお借りし、権限昇格に利用可能な脆弱性の有無を調査
- 検出された脆弱性リスト化し、ご担当者様と相談の元、いくつかの脆弱性について、エクスプロイトを実行して権限昇格を試行
内部ペネトレーションテストの特長
攻撃者が悪用する可能性のあるポートやサービスを検出
調査起点から組織のネットワーク内の各セグメントに対し、ポートスキャン、サービススキャンを実施し、攻撃者が悪用する傾向にあるポート、サービスを検出可能か確認します。
例:FTP、MySQL、RDPなど
脆弱性の修正が必要な領域を特定
サービスに危険度の高い脆弱性が残存していないか、デフォルトの認証情報を利用していないかなどを確認します。調査起点からアクセス可能な範囲において、個人情報や各種サービスの認証情報など、機密性の高い情報を検出可能か確認します。
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えています。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、Webサイトのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心 して頂ける丁寧なプロジェクト進行を心がけます。
専門的なアフターフォロー
弊社は、サイバーセキュリティ分野での専門的なソリューションサービスを提供しており、問題解決の豊富な経験があります。
必要に応じて脆弱性診断を実施。社内運用ルールの整備などお客様の策定も行えます。
弊社が提供する内部ペネトレーションテストの強み
他社では対応が避けられやすいオンサイトでの調査についても柔軟に対応しています。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 短期間かつ安価
-
コストを抑えたサービス提供
一般的なペネトレーションテストでは、要件定義の段階から数ヶ月もの時間をかける場合がほとんとであり、数百万円から数千万円の費用がかかるケースも珍しくありません。弊社では、パッケージプランをご用意することにより、要件定義やテスト設計などにかかる工数を削減。これにより、短期間かつ安価にペネトレーションテストをご提供可能です。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
お任せ
ください!
レオンなら!
- 自社完結のエンジニア
-
セキュリティベンダーで培った知見
弊社は外注等は一切使っておらず、自社スタッフのみで調査を実施します。
ペネトレーションテストの担当者だけでなく、インフラエンジニアやフォレンジック調査員など、様々なスタッフの知見を活用してシナリオを構築する事で、多様な状況を想定した、適切なテストをご提供します。 また、オンサイトでの調査も可能です。詳細な報告書
目的を達成し、そのエビデンスをお渡しして終了ではなく、何故そのエビデンスまで到達できたかを一つ一つ報告書に記載し、それぞれの改善案もお伝えします。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社の内部ペネトレーションテストはこんな方におすすめです
- どこから手を付けて良いか分からない
- 自社ネットワーク環境に不安がある
- セキュリティの専門知識が不足している
- 前回の診断から1年以上が経過している
- ペネトレーションテストを行ったことがない
- 定期的なペネトレーションテストを行いたい
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
内部ペネトレーションテスト項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
項目 | 説明 |
---|---|
ポートスキャン | ネットワーク内のポートをスキャンし、開いているポートとそれに関連するサービスを特定する。 |
サービススキャン | サービスおよびアプリケーションのバージョン情報を取得し、既知の脆弱性を特定する。 |
認証情報の評価 | デフォルトの認証情報や弱いパスワードの使用を確認し、不正アクセスのリスクを評価する。 |
プロトコル評価 | 使用されているネットワークプロトコルや通信の暗号化を評価し、セキュリティのリスクを特定する。 |
脆弱性スキャン | システムおよびアプリケーションに対して脆弱性スキャンを実施し、既知の脆弱性を特定し、リスク評価を行う。 |
不正アクセスの検出 | 異常なアクセスや認証の試行を検出し、不正なアクティビティに対する警告や対応を評価する。 |
データ漏えいの検出 | 機密データや個人情報の不正なアクセスや転送を検出し、データ漏えいのリスクを特定する。 |
セキュリティポリシーと規制順守 | 組織のセキュリティポリシーと規制順守要件を確認し、適合性を評価し、不適合な領域を特定する。 |
社内トレーニング評価 | 従業員のセキュリティ意識とトレーニングの効果を評価し、社内トレーニングの改善を提案する。 |
セキュリティインシデント応答 | セキュリティインシデントへの対応能力を評価し、インシデント検出から対応までのプロセスを確認する。 |
物理セキュリティ評価 | 物理的なアクセス制御、セキュリティカメラ、ドア制御などの物理セキュリティ対策を評価し、脆弱性を特定する。 |
実施フロー
ヒアリング
調査目的やゴール、調査対象など、テスト設計を行う上で必要となる情報をヒアリングいたします。
お申し込み
必要事項を記載し、注文書の送付をお願いいたします。
設計
いただいた要件に応じ、テスト設計を行います。
テスト設計の内容に問題がなければ、ご契約の上、テスト準備に取り掛かります。
テスト準備
テストで利用する端末やツールなどの準備を行います。
テストのシナリオによっては、お客様側で端末やアカウントなどをご準備いただく必要がある場合もございます。
テスト実施
テスト設計の内容に従い、実際に攻撃を実施します。
システムの状態に大きく影響を与える恐れのある攻撃を実施する場合には、ご担当者様に連絡の上、許可なく攻撃を実施することはありません。
結果のご報告
調査結果を取りまとめた報告書をご提供します。
必要に応じ、報告会や、アフターサポートなども実施いたします。