ホワイトハッカーをコンサルタントとして味方に付けサイバー攻撃に強い組織を作る

ホワイトハッカーをコンサルタントとしてアウトソースし、ペネトレーションテストから対策実施支援まで行うプランです。

弊社の持つ全体網羅型の脆弱性診断、リスクベースの脅威モデリング、脅威ベースのペネトレーションテスト(TLPT)、その過程から社内システムを攻撃者として知り尽くしたコンサルタントによる対策実施支援を全て提供し、必要時には改善サイクルとしてプロジェクトを回し強固な組織を作るためのプランです。

脅威ベースのペネトレーションテストと脆弱性診断との違い

脅威ベースのペネトレーションテストはリスクベースやシナリオベースとも言われる手法です。攻撃者や悪意のあるユーザーとして攻撃者を模倣し振る舞い安全な方法で実際に攻撃を行います。まず、脆弱性診断結果や経営方針・提供サービス等のヒアリングを行いしっかりとその組織を知る過程を持ちます。それを元にリスクベースで脅威モデリングを行います。この脅威を元に想定される攻撃者の前提条件(ネットワーク内の権限を持つユーザー、悪意のある一般ユーザーなど)と成功要件(管理者権限の奪取、機密データへのアクセスなど)を決定しシナリオを策定します。そのシナリオに沿って攻撃を実施し、脆弱性診断では発見できないその組織固有のビジネスリスクに対する攻撃経路を洗い出し、対策を検討します。

対して脆弱性診断は診断ツール等を用いてシステムのみに行う全体を網羅する診断方法でありビジネスリスクは検討材料とはしません。素早くシステムの全体像を把握することには適していますが、汎用的な手法のためビジネス組織としての組織固有のセキュリティ要件に応えることには向きません。

弊社の脅威ベースのペネトレーションテストでは脆弱性診断は初期段階の組織内の運用状況や情報資産の把握として用います。
ネットワーク脆弱性診断

弊社のペネトレーションテストの効果

  • 組織としての脆弱性を知り、効果的なリソースの振り分け方を知ることができます
  • セキュリティ商品の有効性が確認でき、不要な商品や必要な商品が明確になります
  • 組織を知り尽くしたホワイトハッカーを相談役として持つことができます
  • ベンダーに依存しない客観的な相談窓口を持つことができます
  • セキュリティマネジメント監査との併用で総合的なセキュリティ体制を強化できます
  • インシデント発生時にもシステムを知り尽くしたホワイトハッカーが対応しますので、迅速かつ的確な対応(すなわち抵工数による低コスト)が期待できます(インシデント対応は別料金)

高いスキルを持つテスターによる実績のあるペネトレーションテスト

金融機関や海外監査プロジェクト等厳しい要求において実績のあるペネトレーションテストです。NIST SP800-115やPCI DSS Penetration Testing Guidanceに対応しており、「全て」PCI DSS Penetration Testing Guidanceや各種金融機関監査等厳しいテスト基準で推奨される高度セキュリティエンジニアのGIAC認定者(GPEN/GWAPT)により実施します。

弊社ペネトレーションテストと他社との違い

  • レポートの提出で終わりではなく、攻撃を実行したホワイトハッカー自身により対策実施支援まで行います
  • グローバルに認知された信頼できるスキルのある認定ホワイトハッカーにより実行します
  • セキュリティ商品の販売を目的としていないためベンダーニュートラルなコンサルティングを行います
  • 中間業者を通していないため非常に低コスト(相場の1/3程度)です
  • 海外のセキュリティコミュニティとの連携を強みとしており最新の手法を取り入れます

下記のスタンダードや手法に準拠したペネトレーションテストを実施

  • 脅威ベースのペネトレーションテスト(TLPT)
  • リスクベースのペネトレーションテスト
  • PCI DSS Penetration Testing Guidance
  • NIST SP 800-115

など

対象のお客様

  • セキュリティ監査等でペネトレーションテストの実施が必要なお客様
  • 海外のセキュリティ監査等でペネトレーションテストを要求されたけれども要求が漠然としていて困っているお客様
  • 導入したセキュリティ商品の有効性に疑問のあるお客様
  • ネットワーク内のセキュリティをしっかりと見直したいお客様
  • 脆弱性診断を行ってもなお攻撃を受け実行性に疑問を持つお客様

対象システム

  • アクティブディレクトリ等の社内ネットワーク環境
  • WEBアプリケーション及びホストするサーバー等を持つDMZを含むクローズドネットワーク
  • クラウド内の開発環境
  • インターネットに接続されたサーバー機器やネットワーク機器
  • IoTプラットフォーム環境

など

1プロジェクトあたりの費用目安

例えばアクティブディレクトリ配下で対象セグメント内のクライアントマシンやネットワーク内サーバー機器200ホスト程度のネットワークで300万円~500万円程度、期間は6か月~1年程度です。ツール類は特別な指定がない限り基本的に弊社で保有しているライセンスにより実行するため追加費用はかかりません。

脅威ベースのペネトレーションテストプロジェクトイメージ

継続型ペネトレーションテストプロジェクトは脅威ベースのペネトレーションテスト(TLPT)の手法を用い経営方針や業務プロセスを考慮し、脆弱性診断によりスコープを決定しテストを実行いたします。

テスト実行後はテスト結果を再度経営方針やビジネスモデルと照らし合わせながらコストや時間といった限られたリソースを考慮し修正範囲を決定、運用・修正のための支援を行います

01. 現状把握・脆弱性診断

脆弱性診断を実施し現状調査し、ヒアリングにより経営方針や業務プロセスを分析。システムの脆弱性だけではなく、社内全体(もしくはその一部)の業務プロセスも把握することによってビジネスとしての脆弱性を洗い出す下準備を行います。

また、システム上の脆弱性を脆弱性スキャナーを使い全体を網羅して現実のシステム運用状況を把握いたします。

02. セキュリティマネジメント監査

システム上の脆弱性だけではなく、組織のセキュリティマネジメント体制を知るために、公認システム監査人によりヒアリングと文書閲覧により実施する監査です。

規程文書・記録文書の閲覧や監査基準チェックリスト等を使用したヒアリングを実施します。

※当監査で全体を把握後、内部統制体制の構築支援も別途承ります。

03. 脅威モデリング・ペネトレーションテストシナリオ決定

脆弱性診断とマネジメント監査の結果からお客様の現状を把握した上で、どこに攻撃面があるのか、組織としてのリスクや攻撃面がどこにあるのかを検討し、リスクベースのスレットモデリング(脅威モデル)を机上で行います。

そのモデルを元に、攻撃者の立ち位置(悪意のあるリモートユーザー、社内のスタッフ、取引先業者等)、前提条件(社内の一般ユーザーとしてのアクセス権を持つ、WEBアプリケーションのユーザー権限を持つなど)、成功要件(権限昇格により管理者権限を奪う、機密情報へのアクセス、ネットワーク内部からの機密情報を持ち出すなど)を検討し攻撃シナリオを決定します。

04. ペネトレーションテスト

決定した攻撃シナリオに対してホワイトハッカーにより実際の攻撃(ペネトレーションテスト)を実行します。テスト実行中はシナリオが成功したか否かだけではなく、どういう手法でどの経路でどれくらいの難易度で成功したのか、不成功であってもその過程で発見された企業としての脆弱性を詳細に記録し、報告いたします。

実際にシナリオをベースに攻撃を行うため、非常に現実的な脆弱性が把握できることになります。

05. ビジネスリスク分析・対策検討

ペネトレーションテストにより明らかになった攻撃経路や脆弱性を、さらに企業としてのビジネスの価値や経営方針と照らし合わせながら、ビジネスリスクを分析。

その分析結果からさらにセキュリティに割り振ることのできるリソースを考慮し、企業としての強さを向上するための対策要件を定義、取るべき対策に優先順位と達成目標を決定します。

06. 対策実施支援・コンサルティング

決定した対策要件、達成目標に対して対策実施支援を行う。随時質問にお答えしたり、定例ミーティング等で進捗を確認、必要時には実際にシステム上で操作して検証も行います。

07. 再テスト・プロジェクト結果分析

修正が可能なものは随時再テストを実行し有効性や新たな課題を分析。


上記結果から、継続的な課題解決のため次のプロジェクトとして②~⑥を実施します。


ペネトレーションテストの実施形態

リモート、オンサイト(クライアント様施設内)のどちらでもご対応いたします。

オンサイトの際にテスターが使用するテストツール等はVirtual Machine上で展開することも可能です。テストで使用したツール、ログ、コンフィグ等の機密情報はツールのライセンス情報を除いて、外部に持ち出すことなく、クライアント様環境にて完全に抹消していただくことも可能です。

エグゼクティブサマリー
イントロダクション
ファインディングス
ファインディングス詳細
結論

お問い合わせ