2019.05.22  セキュリティイニシアティブのペネトレーションテストについて

弊社では専門家(もしくは攻撃者思想を持つ専門家)不在であらかじめ決定されたような狭いスコープに対して診断しその結果を報告書として提出して終わりという「診断」は基本的にお勧めしておりません。そのため下記の段階を経たコンサルティングをお勧めしております。すべてのコンサルティングは攻撃手法を熟知したエンジニアが実際に社内のネットワーク上で手を動かして実際のデータを元に実行いたします。

しっかりとお客様となる企業のサービスや商品、その業務プロセス、どこにどのような形でその重要な資産があるのかを把握し、限られたリソース(コスト・時間・人)をどこにどれだけどれくらいの期間をかけて割り振るべきなのかを判断、その対象(スコープ)を攻撃者である専門家の目によってご提案いたします。そのため脆弱性診断は全体を把握するプロセスのほんの一部という位置づけになっております。

企業のサービスや商品、情報資産を守るためには総合的、長期的な対策が必要です。そのため、弊社としては下記の段階を経て強靭なリスクマネージメントの足場づくりに向けてコンサルティングいたします。

1. システムや業務プロセスの把握
システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

2. 全体を網羅する脆弱性診断
システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

3. 1~2を元にビジネス上の脆弱なポイント、攻撃面の洗い出し。
机上でどこに脆弱なポイントがあるのか、攻撃面はどこなのかを検討します。

4. 攻撃者模倣したペネトレーションテスト
この段階になると1~3によりほぼ社内の状況が把握できている状態となります。
これを元に弊社ペンテスターが攻撃者としてふるまい実際の攻撃を行います。ペネトレーションテストの際には攻撃者の立ち位置、成功要件を定めます。立ち位置は例えば社内ネットワーク内の権限をもつユーザーであるとか、サービス利用者といったものです。成功要件は、攻撃者にとっての成功要件です。管理者権限への昇格や重要データの収集、外部への持ち出しといった具体的な要件を決定します。この立ち位置や、成功要件、スコープは1~3を元に割り出します。

5. 実行した攻撃のフォレンジック調査
4で実行した攻撃を元にフォレンジック調査を行い、実際にその攻撃が防御システムや検知システム、ログなどに正しく検出されているかどうかを確認いたします。また、高価なセキュリティプロダクトを使用しなくても既存のOS等で対策が取れる部分をしっかりと洗い出します。

6. 総合的な会社組織としての脆弱性の洗い出しと対策プラン
総合的にどのような対策や経営方針でリスクをマネージメントするか短期的・長期的な対策プランを策定いたします。

7. 6で策定した対策プランを実行する上でのコンサルティング
随時、質問にお答えしたりや実施状況の確認等を行いお客様をサポートいたします。またインシデント発生時の対応もそれまでのテストにより社内を知り尽くしたコンサルタントにより行います。