テレワーク環境のペネトレーションテスト

テレワーク(リモートワーク)環境のセキュリティコンサルティング

テレワーク環境のセキュリティ状態を運用ルールの診断とペネトレーションテスターによる侵入調査を行い、適切なルールの制定やネットワークやクラウド環境の適切な設定方法をコンサルティングいたします。

弊社のセキュリティコンサルティングの特徴

・組織としての脆弱性を知り、効果的なリソースの振り分け方を知ることができます
・セキュリティ商品の有効性が確認でき、不要な商品や必要な商品が明確になります
・組織を知り尽くしたホワイトハッカーを相談役として持つことができます
・ベンダーに依存しない客観的な相談窓口を持つことができます
・運用ルール診断との併用で組織としての総合的なセキュリティ体制を強化できます

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のあるペネトレーションテストです。NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応しており、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GPEN/GWAPT)により実施します。

弊社セキュリティ診断と他社との違い

・レポートの提出で終わりではなく、攻撃を実行したホワイトハッカー自身により対策実施支援まで行います
・グローバルに認知された信頼できるスキルのある認定ホワイトハッカーにより実行します
・セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
・中間業者を通していないため非常に低コスト(相場の1/3程度)です
・海外のセキュリティコミュニティとの連携を強みとしており最新の手法を取り入れます

診断対象の例

・VPNなどのリモートネットワーク接続環境
・VPNで接続後のネットワーク内のセグメント設置状況やネットワーク資産の認証/認可状況
・テレワーク用PCの設定内容
・AWSなどクラウド環境
・ZoomなどWEB会議システムの設定
・テレワーク(リモートワーク)の運用ルール
など

脅威ベースのペネトレーションテストプロジェクトイメージ

① 現状把握

ネットワーク構成図やシステム構成図などから現状の運用状況を把握させていただきます。

dotted_1pix_gray79041_02

② 運用状況のヒアリング

運用状況のヒアリングを行い、各種のテレワーク基準と照らし合わせベストプラクティスベースで現状の成熟度を把握します。

dotted_1pix_gray79041_02

③ ネットワークへ接続して脆弱性診断

実際にVPN等で接続しネットワーク内の状況の脆弱性診断を行います。

dotted_1pix_gray79041_02

④ ペネトレーションテスト

実際にリモート環境が攻撃を受けた際の被害範囲を最小限にとどめることを目的として、③の脆弱性診断結果から実際に認証/認可を迂回を試み、認可されていないネットワーク内リソースへのアクセス可否など、アクセスコントロールや攻撃の対策状況を調査いたします。

dotted_1pix_gray79041_02

⑤ セキュリティ成熟度とロードマップの検討

①~④までの結果をもとに現状のセキュリティ成熟度を検討し、さらに高いセキュリティを目指すための対策要件、達成目標のロードマップを決定いたします。

dotted_1pix_gray79041_02

⑥ 対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

dotted_1pix_gray79041_02

⑦ 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。

dotted_1pix_gray79041

ペネトレーションテストの実施形態

実際に使用されている業務環境を使用してリモートから接続し実施いたします。運用ルールの診断はドキュメント欄の閲覧やヒアリングにより実施いたします。

ペネトレーションテスト報告書の構成

report_composition_770488

 


お問い合わせ