ペンテスターをコンサルタントとして味方に付け固有のビジネスリスクに強い組織を作る

ペンテスター(ペネトレーションテスター)をコンサルタントとしてアウトソースし、ビジネスリスクベースで対象を決定しペネトレーションテストを実行、対策実施支援まで行うプランです。

弊社の持つ網羅型の脆弱性診断、リスクベースの脅威モデリング、ペネトレーションテスト、その過程からお客様のビジネスを攻撃者目線で知り尽くしたコンサルタントによる対策実施支援を全て提供し、サイバーセキュリティリスクに強い組織を作るためのサービスです。

スコープ選定に最新の脅威モデリング手法を導入

狭く深く実行するペネトレーションテストはお客様のコアビジネスの把握なしにペネトレーションテストを実行しても効果的ではありません。お客様のコアビジネスとそのビジネスを支えるコンピュータシステムの両方を網羅的に把握し、最新の手法により「脅威モデリング」によりスコープの選定とシナリオを作成、「コアビジネスを守るためのペネトレーションテスト」として対コスト効果の高いペネトレーションテストを実行します。

脅威モデリングはビジネス上の脅威がコンピュータシステム上のサーバーホストやクライアント、データフロー、ロジック等のどの部分で発生するかを明確にし、的確にスコープ選定しシナリオを決定する手法です。

弊社では海外の最新の「Threat Modeling Manifesto」を元にお客様固有のビジネスに合わせて実行します。

お客様の限られたリソースをコアビジネスに直結した領域へ無駄なくペネトレーションテストプロジェクトに注ぐためのスコープ設定が可能となります。

弊社のペネトレーションテストと脆弱性診断との違い

 弊社のペネトレーションテストはリスクベースやシナリオベースとも言われる手法です。攻撃者や悪意のあるユーザーとして攻撃者を模倣し振る舞い安全な方法で実際に攻撃を行います。まず、ドキュメントやヒアリング、OSINTといわれる公開情報収集を行いお客様のコアビジネスを知る過程を持ちます。そしてコンピュータシステムの現実の姿を網羅的に知るためにネットワークスキャンや脆弱性スキャンを行い本当の姿を把握します。そのビジネスとコンピュータシステムを元に想定されるビジネスリスクを把握し、ビジネスリスクをコンピュータシステム上に置き換える「脅威モデリング」を行います。この脅威を元に想定されるテスト対象となるスコープ、攻撃者の前提条件(ネットワーク内の権限を持つユーザー、悪意のある一般ユーザーなど)と成功要件(管理者権限の奪取、機密データへのアクセスなど)を決定し現実的な攻撃シナリオを策定します。そのシナリオに沿って攻撃を実施し、脆弱性診断では発見できないその組織固有のビジネスリスクに対する攻撃経路を洗い出し、対策を検討します。

対して脆弱性診断は診断ツール等を用いてシステムのみに行う全体を網羅する診断方法でありビジネスリスクは検討材料とはしません。素早くシステムの全体像を把握することには適していますが、汎用的な手法のためビジネス組織としての組織固有のセキュリティ要件に応えることには向きません。

弊社のペネトレーションテストでは脆弱性診断は初期段階の組織内の運用状況や情報資産の把握として用います。
ネットワーク脆弱性診断

弊社のペネトレーションテストの効果

  • ビジネスリスクに特化しているためコアビジネスに直結したリスクへの効果的なリソースの振り分けを知ることができます
  • 導入したセキュリティ商品の有効性が確認でき、重複していたり不要なプロダクトや弱点をカバーするべきプロダクトの必要要件が明確になります
  • 脅威モデリングにより現実的な攻撃を行うため社内のインシデント対応チームの実戦的な訓練になります
  • 組織を知り尽くしたペンテスターを相談役として持つことができます
  • ベンダーに依存しない客観的な相談窓口を持つことができます
  • インシデント発生時にもシステムを知り尽くしたペンテスターが対応しますので、迅速かつ的確な対応(すなわち低工数による低コスト)が期待できます(インシデント対応は別料金)

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のある弊社ペンテスターによるペネトレーションテストです。

最新のThreat Modeling Manifestoに基づいた脅威モデリングや、NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応したペネトレーションテストを実績、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GPEN/GWAPT)により実施、お客様セキュリティチームによるブルーチーム演習はGIAC(GCFA/GCIH)認定のフォレンジックアナリストによりアドバイスを行います。

 

弊社ペネトレーションテストと他社との違い

  • レポートの提出で終わりではなく、攻撃を実行したペンテスター自身により対策実施支援まで行います
  • グローバルに認知された信頼できるスキルのある認定ペンテスターにより実行します
  • セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
  • 中間業者を通していないため非常に低コスト(相場の1/3程度)です
  • 海外のセキュリティコミュニティとの連携を強みとしており常に最新の手法をアップデートして取り入れます

下記のスタンダードや手法に準拠したペネトレーションテストを実施

  • リスクベースのペネトレーションテスト
  • Threat Modeling Manifesto
  • PCI DSS Penetration Testing Guidance
  • NIST SP 800-115

など

対象のお客様

  • セキュリティ監査等でペネトレーションテストの実施が必要なお客様
  • 海外のセキュリティ監査等でペネトレーションテストを要求されたけれども要求が漠然としていて困っているお客様
  • 導入したセキュリティ商品の有効性に疑問のあるお客様
  • ネットワーク内のセキュリティをしっかりと見直したいお客様
  • 脆弱性診断を行ってもなお攻撃を受け実行性に疑問を持つお客様

対象システム

  • アクティブディレクトリ等の社内ネットワーク環境
  • WEBアプリケーション及びホストするサーバー等を持つDMZを含むクローズドネットワーク
  • クラウド内の開発環境
  • インターネットに接続されたサーバー機器やネットワーク機器
  • IoTプラットフォーム環境

など

1プロジェクトあたりの費用目安

例えばアクティブディレクトリ配下で対象セグメント内のクライアントマシンやネットワーク内サーバー機器200ホスト程度のネットワークで300万円~500万円程度、期間は6か月~1年程度です。ツール類は特別な指定がない限り基本的に弊社で保有しているライセンスにより実行するため追加費用はかかりません。

ペネトレーションテストプロジェクトイメージ

ペネトレーションテストのフロー
ペネトレーションテストのフロー

継続型ペネトレーションテストプロジェクトはペネトレーションテストの手法を用い経営方針や業務プロセスを考慮し、脆弱性診断によりスコープを決定しテストを実行いたします。

テスト実行後はテスト結果を再度経営方針やビジネスモデルと照らし合わせながらコストや時間といった限られたリソースを考慮し修正範囲を決定、運用・修正のための支援を行います

01. ビジネスの把握

ペネトレーションテスト:ビジネスの把握

ヒアリングやドキュメントにより経営方針や業務プロセスを把握。ペネトレーションテストテストの目的を明確にするため、コアビジネスを知り、会社組織としてのビジネスリスクを把握します。

 

02. システムの把握(網羅型の脆弱性診断)

ペネトレーションテスト: システムの把握

現実の状況とドキュメントの内容が違うことは多々発生します。正しい現状把握を行い後の「脅威モデリング」へつなぎます。実際にネットワーク内で脆弱性スキャナーやツールを用いて網羅型の脆弱性診断を行い、正しい現状を理解します。

03. 脅威モデリング・ペネトレーションテストシナリオ決定

ペネトレーションテスト: 脅威モデリング・ペネトレーションテストシナリオ決定

お客様のビジネスとシステムを把握した上で、ビジネス上のリスクが実際にシステム上のどこでそのリスクが発生するのかを「脅威モデリング」により検討します。この過程はビジネスリスクとシステム上のリスクの双方を理解する必要があるため、弊社コンサルタントをアドバイザーとして経営層、開発チーム、運用チームなどのステークホルダーのみなさまを交えてブレーンストーミングを行い組織としてのリスクや攻撃面がどこにあるのかを検討します。この過程がビジネスリスクに対する意識共有や役割の明確化など組織にとって非常に有用となります。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

04. ペネトレーションテストの実行

ペネトレーションテスト:ペネトレーションテストの実行

 

決定した攻撃シナリオに対してペンテスターにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

05. ビジネスリスク分析・対策検討

ペネトレーションテスト:ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための対策要件を定義、取るべき対策に優先順位と達成目標を決定します。

06. 対策実施支援・コンサルティング

ペネトレーションテスト:対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

07. 再テスト・プロジェクト結果分析

ペネトレーションテスト:再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。


上記結果から、継続的な課題解決のため次のプロジェクトとして②~⑥を実施します。


ペネトレーションテストの実施形態

リモート、オンサイト(クライアント様施設内)のどちらでもご対応いたします。

オンサイトの際にテスターが使用するテストツール等はVirtual Machine上で展開することも可能です。テストで使用したツール、ログ、コンフィグ等の機密情報はツールのライセンス情報を除いて、外部に持ち出すことなく、クライアント様環境にて完全に抹消していただくことも可能です。

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ

 

ペンテスターをコンサルタントとして味方に付け固有のビジネスリスクに強い組織を作る

ペンテスター(ペネトレーションテスター)をコンサルタントとしてアウトソースし、ビジネスリスクベースでペネトレーションテストから対策実施支援まで行うプランです。

弊社の持つ網羅型の脆弱性診断、リスクベースの脅威モデリング、ペネトレーションテスト、その過程からお客様のビジネスを攻撃者目線で知り尽くしたコンサルタントによる対策実施支援を全て提供し、サイバーリスクに強い組織を作るためのサービスです。

スコープ選定に最新の脅威モデリング手法を導入

お客様のコアビジネスの把握なしにペネトレーションテストを実行しても効果的ではありません。お客様のコアビジネスとそのビジネスを支えるコンピュータシステムの両方を網羅的に把握し、最新の手法により「脅威モデリング」によりスコープの選定とシナリオを作成、「コアビジネスを守るためのペネトレーションテスト」につなげます。

脅威モデリングはビジネス上のリスクがコンピュータシステム上のサーバーホストやクライアント、データフロー、ロジック等のどの部分で発生するかを明確にし、的確にスコープ選定しシナリオを決定する手法です。

弊社では海外の最新の「Threat Modeling Manifesto」を元にお客様固有のビジネスに合わせて実行します。

お客様の限られたリソースをコアビジネスに直結した領域へ無駄なくペネトレーションテストプロジェクトに注ぐためのスコープ設定が可能となります。

弊社の脅威ベースのペネトレーションテストと脆弱性診断との違い

 弊社の脅威ベースのペネトレーションテストはリスクベースやシナリオベースとも言われる手法です。攻撃者や悪意のあるユーザーとして攻撃者を模倣し振る舞い安全な方法で実際に攻撃を行います。まず、ドキュメントやヒアリング、OSINTといわれる公開情報収集を行いお客様のコアビジネスを知る過程を持ちます。そしてコンピュータシステムの現実の姿を網羅的に知るためにネットワークスキャンや脆弱性スキャンを行い本当の姿を把握します。そのビジネスとコンピュータシステムを元に想定されるビジネスリスクを把握し、ビジネスリスクをコンピュータシステム上に置き換える「脅威モデリング」を行います。この脅威を元に想定されるテスト対象となるスコープ、攻撃者の前提条件(ネットワーク内の権限を持つユーザー、悪意のある一般ユーザーなど)と成功要件(管理者権限の奪取、機密データへのアクセスなど)を決定し現実的な攻撃シナリオを策定します。そのシナリオに沿って攻撃を実施し、脆弱性診断では発見できないその組織固有のビジネスリスクに対する攻撃経路を洗い出し、対策を検討します。

対して脆弱性診断は診断ツール等を用いてシステムのみに行う全体を網羅する診断方法でありビジネスリスクは検討材料とはしません。素早くシステムの全体像を把握することには適していますが、汎用的な手法のためビジネス組織としての組織固有のセキュリティ要件に応えることには向きません。

弊社の脅威ベースのペネトレーションテストでは脆弱性診断は初期段階の組織内の運用状況や情報資産の把握として用います。
ネットワーク脆弱性診断

弊社のペネトレーションテスト(TLPT)の効果

  • ビジネスリスクに特化しているためコアビジネスに直結したリスクへの効果的なリソースの振り分けを知ることができます
  • 導入したセキュリティ商品の有効性が確認でき、重複していたり不要なプロダクトや弱点をカバーするべきプロダクトの必要要件が明確になります
  • 脅威モデリングにより現実的な攻撃を行うため社内のインシデント対応チームの実戦的な訓練になります
  • 組織を知り尽くしたペンテスターを相談役として持つことができます
  • ベンダーに依存しない客観的な相談窓口を持つことができます
  • インシデント発生時にもシステムを知り尽くしたペンテスターが対応しますので、迅速かつ的確な対応(すなわち低工数による低コスト)が期待できます(インシデント対応は別料金)

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のある弊社ペンテスターによるペネトレーションテストです。

最新のThreat Modeling Manifestoに基づいた脅威モデリングや、FISC 金融機関等におけるTLPT実施にあたっての手引書、NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応したペネトレーションテストを実績、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GXPN/GPEN/GWAPT)により実施、お客様セキュリティチームによるブルーチーム演習はGIAC(GCFA/GCIH)認定のフォレンジックアナリストによりアドバイスを行います。

弊社ペネトレーションテストと他社との違い

  • レポートの提出で終わりではなく、攻撃を実行したペンテスター自身により対策実施支援まで行います
  • グローバルに認知された信頼できるスキルのある認定ペンテスターにより実行します
  • ペネトレーションテスト実施後のお客様セキュリティチームによるブルーチーム演習もGCFA認定のフォレンジックアナリストによりアドバイスいたします
  • セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
  • 中間業者を通していないため非常に低コスト(相場の1/5程度)です
  • 海外のセキュリティコミュニティとの連携を強みとしており常に最新の手法をアップデートして取り入れます

下記のスタンダードや手法に準拠したペネトレーションテストを実施

  • FISC金融情報システムセンター発行 金融機関等におけるTLPT実施にあたっての手引書
  • Threat Modeling Manifesto
  • PCI DSS Penetration Testing Guidance
  • NIST SP 800-115

など

対象のお客様

  • セキュリティ監査等でペネトレーションテストの実施が必要なお客様
  • 海外のセキュリティ監査等でペネトレーションテストを要求されたけれども要求が漠然としていて困っているお客様
  • 導入したセキュリティ商品の有効性に疑問のあるお客様
  • ネットワーク内のセキュリティをしっかりと見直したいお客様
  • 脆弱性診断を行ってもなお攻撃を受け実行性に疑問を持つお客様

対象システム

  • アクティブディレクトリ等の社内ネットワーク環境
  • WEBアプリケーション及びホストするサーバー等を持つDMZを含むクローズドネットワーク
  • クラウド内の開発環境
  • インターネットに接続されたサーバー機器やネットワーク機器
  • IoTプラットフォーム環境

など

1プロジェクトあたりの費用目安

例えばアクティブディレクトリ配下で対象セグメント内のクライアントマシンやネットワーク内サーバー機器200ホスト程度のネットワークで300万円~500万円程度、期間は6か月~1年程度です。ツール類は特別な指定がない限り基本的に弊社で保有しているライセンスにより実行するため追加費用はかかりません。

脅威ベースのペネトレーションテストプロジェクトイメージ

ペネトレーションテスト/TLPTのフロー
ペネトレーションテスト/TLPTのフロー

継続型ペネトレーションテストプロジェクトは脅威ベースのペネトレーションテスト(TLPT)の手法を用い経営方針や業務プロセスを考慮し、脆弱性診断によりスコープを決定しテストを実行いたします。

テスト実行後はテスト結果を再度経営方針やビジネスモデルと照らし合わせながらコストや時間といった限られたリソースを考慮し修正範囲を決定、運用・修正のための支援を行います

01. ビジネスの把握

ペネトレーションテスト(TLPT):ビジネスの把握

ヒアリングやドキュメントにより経営方針や業務プロセスを把握。ペネトレーションテストテストの目的を明確にするため、コアビジネスを知り、会社組織としてのビジネスリスクを把握します。

02. システムの把握(網羅型の脆弱性診断)

ペネトレーションテスト(TLPT): システムの把握

現実の状況とドキュメントの内容が違うことは多々発生します。正しい現状把握を行い後の「脅威モデリング」へつなぎます。実際にネットワーク内で脆弱性スキャナーやツールを用いて網羅型の脆弱性診断を行い、正しい現状を理解します。

03. 脅威モデリング・ペネトレーションテストシナリオ決定

ペネトレーションテスト(TLPT): 脅威モデリング・ペネトレーションテストシナリオ決定

お客様のビジネスとシステムを把握した上で、ビジネス上のリスクが実際にシステム上のどこでそのリスクが発生するのかを「脅威モデリング」により検討します。この過程はビジネスリスクとシステム上のリスクの双方を理解する必要があるため、弊社コンサルタントをアドバイザーとして経営層、開発チーム、運用チームなどのステークホルダーのみなさまを交えてブレーンストーミングを行い組織としてのリスクや攻撃面がどこにあるのかを検討します。この過程がビジネスリスクに対する意識共有や役割の明確化など組織にとって非常に有用となります。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

04. ペネトレーションテストの実行

ペネトレーションテスト(TLPT):ペネトレーションテストの実行

 

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

05. ビジネスリスク分析・対策検討

ペネトレーションテスト(TLPT):ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための対策要件を定義、取るべき対策に優先順位と達成目標を決定します。

06. 対策実施支援・コンサルティング

ペネトレーションテスト(TLPT):対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

07. 再テスト・プロジェクト結果分析

ペネトレーションテスト(TLPT):再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。


上記結果から、継続的な課題解決のため次のプロジェクトとして②~⑥を実施します。


ペネトレーションテストの実施形態

リモート、オンサイト(クライアント様施設内)のどちらでもご対応いたします。

オンサイトの際にテスターが使用するテストツール等はVirtual Machine上で展開することも可能です。テストで使用したツール、ログ、コンフィグ等の機密情報はツールのライセンス情報を除いて、外部に持ち出すことなく、クライアント様環境にて完全に抹消していただくことも可能です。

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ

 

ネットワーク脆弱性診断はLANやWANに接続されたサーバーやクライアントマシン、ネットワーク機器等に対しての「網羅型」のセキュリティ診断で、スピードを重視して脆弱性スキャナーを使用しての診断後、出力された結果を手動で確認作業を行います。

なお、ペネトレーションテストをご契約いただいたお客様には無償でネットワーク脆弱性診断を提供いたします。ご相談ください。

修正コンサルティングから修正後の再テストまで実行

報告書を提出しただけではお客様のセキュリティは何も向上しません。弊社の脆弱性診断サービスは発見された脆弱性の対策実施支援から修正後の再テストまで実施いたします。

料金

30万円+税
※2IPアドレスまで、報告書作成費用、報告会、修正に関するテクニカルコンサルティング、修正後の再テストを含む

各種基準や要件に準拠した脆弱性診断です

  • PCI DSS Vulnerability Scanning Requirement
  • 経済産業省基準

など

対象となるお客様

  • ペネトレーションテストを実施しようと検討中のお客様
  • これまで診断を行ったことがなく最初の一歩目として何をやっていいのか分からないお客様
  • 社内のセキュリティ状況を調査したいお客様

対象システム

  • 社内ネットワークのクライアントマシンやルーター、ファイアーウォール等
  • インターネットに接続されたサーバー機器やネットワーク機器等
  • IoT機器等

脆弱性診断手法

  • ポートスキャン (TCP/UDP 0-65535)
  • OSバージョンスキャン (外部開放ポートのみ)
  • サービスバージョンスキャン(外部開放ポートのみ)
  • 脆弱性診断ツールによる脆弱性スキャン
  • オープンポートへのデフォルト認証テスト
  • 発見された脆弱性についての手動確認
  • 暗号化方式やサイファーの調査
  • デフォルトパスワードやパスワードリストによるログイン試行テスト
  • 発見された脆弱性のCVE等データベースの照会及び攻撃難易度調査
  • PCI DSS v3.2 11.2準拠の脆弱性診断

脆弱性診断のご提供形態

リモート、オンサイトどちらでも対応いたします。

脆弱性診断にかかる日数

打ち合わせから診断、レポート提出まで最短で約5営業日です。

脆弱性診断の報告書

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ

WEB脆弱性診断はWEBアプリケーションやAPIプラットフォーム、モバイルアプリケーション等に対しての「全体網羅型」のセキュリティ診断で、スピードを重視して脆弱性診断スキャナでの診断後、出力された結果を手動で確認作業を行います。

WEBアプリケーションセキュリティの世界で世界的に評価の高いOWASPのセキュリティ基準OWASP ASVSを元に診断し、基準を満たしている際には報告書と共に証明書を発行いたします。

フルスタック脆弱性診断

WEBアプリケーションのみでは不十分であり、サーバープラットフォームの診断を行わなくては意味がありません。弊社ではサーバープラットフォーム診断も2IPアドレスまでに限り脆弱性診断料金に含めております。

修正コンサルティングから修正後の再テストまで実行

報告書を提出しただけではお客様のセキュリティは何も向上しません。弊社の脆弱性診断サービスは発見された脆弱性の対策実施支援から修正後の再テストまで実施いたします。

OWASP ASVS 4.0準拠の証明書を発行

WEBアプリケーション脆弱性診断にてOWASP ASVS 4.0準拠が確認された際には報告書と共にOWASP ASVS 各レベル(Level1~3)準拠を証明する証明書を発行いたします。第三者による脆弱性診断を実施し一定の基準を満たしている証明としてご利用ください。

※OWASP ASVSはOWASP Foundationから直接の証明・保証は認められておりません。したがって第三者によるテスト結果証明となり、テクニカルな詳細を記述した報告書を添えての証明となります。

料金

80万円+税/ドメイン

  • 画面遷移30リクエストまで
  • WEBサーバーに対するネットワーク診断2×IPアドレスを含む
  • 5リクエスト増えるごとに10万円追加
  • 報告書作成費用、報告会、修正に関するテクニカルコンサルティング、再テストを含む

スコープ決定のための事前調査も行います

限られたご予算の中でどこをスコープとするべきか、手動診断を重視するパート/自動診断メインで実行するパートを攻撃者の視点で決定するプロセスです。セールス担当によるスコープ決定は行いません。診断を担当するホワイトハッカーによる調査を行います。

10万円+税/回

  • 1~2時間程度の開発者様とのディスカッション
  • 仕様書や設計書等のドキュメントの閲覧
  • 実際のアプリケーションを操作しての確認

各種基準や要件に準拠した脆弱性診断

  • OWASP ASVS 4.0
  • PCI DSS Vulnerability Scanning Requirement

など

対象となるお客様

  • 社会的信用の高い基準を元に第三者による脆弱性診断を実施し、一定の基準を満たしていることを証明したいお客様
  • 受託開発業者様でクライアント様からオンラインサービスに対しての脆弱性診断を求められたお客様
  • 自社展開のサービスにおいて安全性を確認したいお客様

対象システム

  • WEBアプリケーション
  • モバイルアプリケーション
  • APIプラットフォーム

など

検査手法(プラットフォーム)

  • OSINT
  • ポートスキャン (TCP/UDP 0-65535)
  • OSバージョンスキャン (外部開放ポートのみ)
  • サービスバージョンスキャン(外部開放ポートのみ)
  • 複数の脆弱性診断ツールによる脆弱性スキャン
  • オープンポートへのデフォルト認証テスト
  •  発見された脆弱性についての手動確認
  • 暗号化方式やサイファーの調査
  • デフォルトパスワードやパスワードリストによるログイン試行テスト
  • 発見された脆弱性のCVE等データベースの照会及び攻撃難易度調査
  • PCI DSS v3.2 11.2準拠の脆弱性診断

など

検査手法(WEBアプリケーション)

  • OSINT
  • Nikto、ZAP、Burp、NSE、Metasploit等複数の脆弱性ディスカバリツールでのスキャン
  • Proxyを使用した各パラメータ及びヘッダー項目への手動テスト
  • 意図せず漏洩している情報の有無
  • 権限の昇格や非認証ユーザーによるログインやセッションバイパス
  • 秘匿ページの採集及び悪用可否調査
  • OWASP ASVS 4.0に則ったセキュリティ要件確保状況調査
  • IPA発行「安全なWEBサイトの作り方」に則ったセキュリティ要件確保状況調査
  • PCI DSS v3.2 6.5準拠の脆弱性診断

など

脆弱性診断のご提供形態

リモート、オンサイトどちらでも対応いたします。

脆弱性診断にかかる日数

打ち合わせから診断、レポート提出まで最短で5営業日です。

脆弱性診断の報告書

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ

テレワーク(リモートワーク)環境のセキュリティコンサルティング

テレワーク環境のセキュリティ状態を運用ルールの診断とペネトレーションテスターによる侵入調査を行い、適切なルールの制定やネットワークやクラウド環境の適切な設定方法をコンサルティングいたします。

弊社のセキュリティコンサルティングの特徴

  • 組織としての脆弱性を知り、効果的なリソースの振り分け方を知ることができます
  • セキュリティ商品の有効性が確認でき、不要な商品や必要な商品が明確になります
  • 組織を知り尽くしたホワイトハッカーを相談役として持つことができます
  • ベンダーに依存しない客観的な相談窓口を持つことができます
  • 運用ルール診断との併用で組織としての総合的なセキュリティ体制を強化できます

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のあるペネトレーションテストです。NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応しており、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GPEN/GWAPT)により実施します。

弊社セキュリティ診断と他社との違い

  • レポートの提出で終わりではなく、攻撃を実行したホワイトハッカー自身により対策実施支援まで行います
  • グローバルに認知された信頼できるスキルのある認定ホワイトハッカーにより実行します
  • セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
  • 中間業者を通していないため非常に低コスト(相場の1/3程度)です
  • 海外のセキュリティコミュニティとの連携を強みとしており最新の手法を取り入れます

診断対象の例

  • VPNなどのリモートネットワーク接続環境
  • VPNで接続後のネットワーク内のセグメント設置状況やネットワーク資産の認証/認可状況
  • テレワーク用PCの設定内容
  • AWSなどクラウド環境
  • ZoomなどWEB会議システムの設定
  • テレワーク(リモートワーク)の運用ルール
  • など

① 現状把握・脆弱性診断

脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

② セキュリティマネジメント監査

システム上の脆弱性だけではなく、組織のセキュリティマネジメント体制を知るために、公認システム監査人によりヒアリングと文書閲覧により実施する監査です。

規程文書・記録文書の閲覧や監査基準チェックリスト等を使用したヒアリングを実施します。

※当監査で全体を把握後、内部統制体制の構築支援も別途承ります。

③ 脅威モデリング・ペネトレーションテストシナリオ決定

脆弱性診断とマネジメント監査の結果からお客様の現状を把握した上で、どこに攻撃面があるのか、組織としてのリスクや攻撃面がどこにあるのかを検討し、リスクベースのスレットモデリング(脅威モデル)を机上で行います。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

④ ペネトレーションテスト

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

⑤ ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための対策要件を定義、取るべき対策に優先順位と達成目標を決定します。

⑥ 対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

⑦ 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。


ペネトレーションテストの実施形態

リモート、オンサイト(クライアント様施設内)のどちらでもご対応いたします。

オンサイトの際にテスターが使用するテストツール等はVirtual Machine上で展開することも可能です。テストで使用したツール、ログ、コンフィグ等の機密情報はツールのライセンス情報を除いて、外部に持ち出すことなく、クライアント様環境にて完全に抹消していただくことも可能です。

ペネトレーションテスト報告書の構成

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ

金融機関等の豊富な監査実績のある監査人により、マネジメントの観点からサイバーセキュリティに関する施策を総合的かつ効果的に推進するため、対策強化のための自律的かつ継続的な改善機構であるPDCAサイクルが継続的かつ有効に機能するよう助言し、対策の効果的な強化を図ります。

ホワイトハッカーの知見を活かす攻撃者視点のセキュリティマネジメント監査

セキュリティマネジメント監査といえどもITセキュリティ分野ではセキュリティエンジニアの知見も重要です。弊社のセキュリティマネジメント監査には攻撃者としての知見を持つホワイトハッカーも同席し、攻撃者視点を交えた実践的な監査を行います。

対象の監査業務

  • マネジメント監査
  • システム監査
  • プロジェクト監査
  • 情報セキュリティ監査
  • サイバーセキュリティ監査
  • 内部統制監査における各種IT統制監査
  • 個人情報保護監査
  • 特定個人情報保護監査

監査チェックリスト作成に利用する監査基準やガイドライン

監査基準

経済産業省「情報セキュリティ監査基準」
経済産業省「情報セキュリティ監査基準 実施基準ガイドライン」
経済産業省「情報セキュリティ監査基準 報告基準ガイドライン」
経済産業省「システム監査基準」

管理基準

経済産業省「情報セキュリティ管理基準」
経済産業省「システム管理基準」
経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」
経済産業省「システム管理基準 追補版(財務報告に係るIT統制 イタ )追加付録」

ガイドライン

FISC「金融機関等コンピュータシステムの安全対策基準・解説書」
「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」
「システム統合リスク管理態勢に関する考え方・着眼点(詳細編)」
「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針」
「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」
「金融業務における特定個人情報 の適正な取扱いに関するガイドライン」

JIS基準

JISQ0073 リスクマネジメント-用語
JISQ15001 個人情報保護マネジメントシステム-要求事項
JISQ27000 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
JISQ27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
JISQ27002 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範
JISQ27006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
JISQ27014 情報技術-セキュリティ技術-情報セキュリティガバナンス
JISQ27017 情報技術-セキュリティ技術-JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
JISQ31000 リスクマネジメント-指針

マネジメント監査人資格一覧 (延べ人数)

情報処理安全確保支援士 1名
システム監査技術者 2名
公認システム監査人 8名
ISMS監査員補 3名
技術士 1名
中小企業診断士 3名
認定登録医業経営コンサルタント 1名


お問い合わせ

OSINTを活用した包括的なペネトレーションテストサービス

本サービスは、OSINTにより入手した情報を攻撃者目線で攻撃に有用な情報として整理、ソーシャルエンジニアリング攻撃やフィッシングなどあらゆる攻撃手法を考察し、その情報を用いた攻撃手法を攻撃者よりも先に指摘するサービスです。

OSINTとは

OSINTとは、オープンソース・インテリジェントの略で、公開された情報をもとに機密情報を収集、解析する手段のことです。

企業サイトへ掲載されている情報やプレスリリースなどの何気ない情報でも、攻撃側から見ると、ソーシャルエンジニアリング攻撃やサプライチェーン攻撃を行うための手がかり、つまり「おいしい情報」となる状況が多々発生します。また、重要な情報を意図せずに公開していることもあります。

OSINTペネトレーションテストは、このような攻撃につながる経路を、攻撃者であるペンテスターの目線で調査します。

また、調査結果に応じ、セキュリティのプロコンサルタントが対策・実施支援を行います。テストをやっただけではセキュリティは強化されません。コンサルタントが伴走し、セキュアな組織を作るためのサポートをします。

期待できる効果

  • 自社のセキュリティ強度を知ることができます
  • 漏洩文書・ネットワーク構成・システム構成・社員の個人情報などの漏洩情報を発見することにより、その情報を悪用したサイバー攻撃を未然に防ぎます
  • セキュアな組織をつくるために、出していい情報と出してはいけない情報を知ることができます

本サービスの利点

本テストは、公開情報を利用して実施する調査のため

  • 社内ネットワークに負荷をかけずに実施できる
  • 実施にあたり、セキュリティ担当部署や情報システム担当部署との連携が不要
  • 取引先や部署に知らせることなく実施可能 と、メリットが多いことも特徴です。
    また、サプライチェーン攻撃への対策をとして、取引先の調査も可能です。

他社提供サービスとの違い

  • OSINT技術で収集した情報を基に、攻撃手法を脅威モデリングにより検討します
  • ヒアリングの上で要件定義を行いますので、企業ごとのオリジナルシナリオで実施します
  • OSINTスペシャリストとペネトレーションテスターがそれぞれの知見を活かして実施します

実施手順

① 要件定義

現時点での懸念点をヒアリングし、その内容をもとに要件定義を行います。

② ターゲット設定

ネットワークシステム・アプリケーション・データ・人・組織・拠点、など。

③ OSINTペネトレーションテストの実施

ターゲットに基づき、OSINT技術者にてペネトレーションテストを実施します。

ペネトレーションテスト内では、以下のような情報の探索を行います。

  • 漏洩文書の探索
  • 公開文書の探索
  • ログイン情報などの探索
  • 人と人との関係の探索
  • 社内で使用されている言葉や略語の探索
  • 会社の相関関係の探索
  • 社員番号の規則やログインID等の命名規則
  • ソーシャルエンジニアリングのプリテキスティングにつながる情報
  • ネットワーク侵入につながる情報

④ 脅威モデリング

OSINTから直接的なネットワーク攻撃やソーシャルエンジニアリング攻撃に繋がる経路やシナリオを考察します

⑤ 対策の考察

脅威モデリングに基づき未然防止策を検討します

⑥ レポート提出

テストの実施結果をレポートとして提出します

⑦ 対策実施支援

レポートをお渡しして終わりではなく、判明した情報漏洩やその情報を悪用した際のセキュリティリスクへの対策を行うために、

テストを実施した技術者から、コンサルティングとアドバイスを行います。対策支援もサポート。

実施費用と期間

  • 200万円(税別)
  • 2週間程度でテスト実施〜レポート提出まで行います

お問い合わせ