脅威ベースのペネトレーションテストプロジェクトイメージ

 

ペネトレーションテストプロジェクトは経営方針や業務プロセスを考慮し、脆弱性診断によりスコープを決定し脅威ベースのペネトレーションテスト(TLPT)を実行いたします。

テスト実行後はテスト結果を再度経営方針と照らし合わせながらコストや時間といった限られたリソースを考慮し修正範囲を決定、運用・修正のための支援を行います

① 現状把握・脆弱性診断

脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

dotted_1pix_gray79041_02

② スコープ・シナリオ決定

お客様の現状をを一定レベルまで把握した上で、どこに攻撃面があるのか、組織としての脆弱性がどこにあるのかを検討し、スレットモデリング(脅威モデル)を机上で行います。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

dotted_1pix_gray79041_02

③ ペネトレーションテスト

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

dotted_1pix_gray79041_02

④ ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための要件を定義、取るべき対策に優先順位と達成目標を決定します。

dotted_1pix_gray79041_02

⑤ 運用実施・対策支援

決定した要件、達成目標に対して実際にセキュリティ向上策を実施。修正や運用の支援を行います。

dotted_1pix_gray79041_02

⑥ 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。

dotted_1pix_gray79041

上記結果から、継続的な課題解決のため次のプロジェクトとして②~⑥を実施します。