テレワーク環境のペネトレーションテスト

テレワーク(リモートワーク)環境のセキュリティコンサルティング

テレワーク環境のセキュリティ状態を運用ルールの診断とペネトレーションテスターによる侵入調査を行い、適切なルールの制定やネットワークやクラウド環境の適切な設定方法をコンサルティングいたします。

弊社のセキュリティコンサルティングの特徴

  • 組織としての脆弱性を知り、効果的なリソースの振り分け方を知ることができます
  • セキュリティ商品の有効性が確認でき、不要な商品や必要な商品が明確になります
  • 組織を知り尽くしたホワイトハッカーを相談役として持つことができます
  • ベンダーに依存しない客観的な相談窓口を持つことができます
  • 運用ルール診断との併用で組織としての総合的なセキュリティ体制を強化できます

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のあるペネトレーションテストです。NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応しており、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GPEN/GWAPT)により実施します。

弊社セキュリティ診断と他社との違い

  • レポートの提出で終わりではなく、攻撃を実行したホワイトハッカー自身により対策実施支援まで行います
  • グローバルに認知された信頼できるスキルのある認定ホワイトハッカーにより実行します
  • セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
  • 中間業者を通していないため非常に低コスト(相場の1/3程度)です
  • 海外のセキュリティコミュニティとの連携を強みとしており最新の手法を取り入れます

診断対象の例

  • VPNなどのリモートネットワーク接続環境
  • VPNで接続後のネットワーク内のセグメント設置状況やネットワーク資産の認証/認可状況
  • テレワーク用PCの設定内容
  • AWSなどクラウド環境
  • ZoomなどWEB会議システムの設定
  • テレワーク(リモートワーク)の運用ルール
  • など

① 現状把握・脆弱性診断

脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

② セキュリティマネジメント監査

システム上の脆弱性だけではなく、組織のセキュリティマネジメント体制を知るために、公認システム監査人によりヒアリングと文書閲覧により実施する監査です。

規程文書・記録文書の閲覧や監査基準チェックリスト等を使用したヒアリングを実施します。

※当監査で全体を把握後、内部統制体制の構築支援も別途承ります。

③ 脅威モデリング・ペネトレーションテストシナリオ決定

脆弱性診断とマネジメント監査の結果からお客様の現状を把握した上で、どこに攻撃面があるのか、組織としてのリスクや攻撃面がどこにあるのかを検討し、リスクベースのスレットモデリング(脅威モデル)を机上で行います。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

④ ペネトレーションテスト

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

⑤ ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための対策要件を定義、取るべき対策に優先順位と達成目標を決定します。

⑥ 対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

⑦ 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。

ペネトレーションテストの実施形態

リモート、オンサイト(クライアント様施設内)のどちらでもご対応いたします。

オンサイトの際にテスターが使用するテストツール等はVirtual Machine上で展開することも可能です。テストで使用したツール、ログ、コンフィグ等の機密情報はツールのライセンス情報を除いて、外部に持ち出すことなく、クライアント様環境にて完全に抹消していただくことも可能です。

ペネトレーションテスト報告書の構成

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論
お問い合わせ