ペネトレーションテストサービス
ペネトレーションテストサービス 概要
ペネトレーションテストとは、組織の情報システムやネットワーク、アプリケーションのセキュリティを評価するために行う実践的なテスト手法です。システムに存在する脆弱性を発見し、攻撃者がそれらを悪用する前に対策を講じるために実施されます。
しかし、企業がペネトレーションテストを実施するにあったって、どこから手を付けていいかわからない、または費用が高いという課題が多くあるのが現状です。そのための解決策として、TISのペネトレーションサービスでは様々なシナリオごとのパッケージ、シナリオごとの金額設定をご用意させていただきました。お客様が必要としている脅威対策を、ピンポイントかつ、安価で高速にご提供可能です。
複数のパッケージを組み合わせて実施することもできます。
TISのペネトレーションテストサービスではこのような課題を解決します
- 業界からペネトレーショテストの早期実施を求められる
- 社内に有識者がおらず何をしたらいいかわからない
- 費用が高いため他の施策が優先されてしまう
TISのペネトレーションテストサービス採用のメリット
TISのペネトレーションテストサービスでは、以下の特徴があります。
①ペネトレーションテストの早期実施を実現
ペネトレーションテストにおけるお客様のニーズに合わせて様々なパッケージをご用意しています。
初めからよく侵入されるケースなどを想定したシナリオを体系立てて準備しているため、シナリオを選んでいただくだけですぐに実施可能です。
※最短シナリオ(VPN機器やルーターを狙って侵入)では、シナリオ合意後、2週間程度でレポート提出まで対応します。
②侵入パターン・事例(シナリオ)のメニュー化
実際にサイバー攻撃が行われている侵入経路やよくあるペネトレーションテスト事例をもとに、メニュー化しました。
したがってお客様の想定される脅威や実施方法などに合わせて選択式でペネトレーションテストの実現が可能です。
- 外部からの脅威:外部公開機器(VPN)への侵入など
- 従業員を狙った脅威:マルウェア感染、ソーシャルエンジニアリング(標的型メール)など
③低価格での提供
シナリオ毎にメニュー化しているため、必要なものだけを選択することで必要最低限のペネトレーションテストを実施可能です。
予め当社が作成したシナリオに沿って実施頂くセミオーダー形式により、効率的かつ低価格でテストを行うことが出来ます。
※最短シナリオ(VPN機器やルーターを狙って侵入):70万~ご提供可能です。
ペネトレーションテストサービス パッケージ
パッケージ一覧
様々なパッケージをご用意しているため、必要なメニューの選択または複数のパッケージを組み合わせてペネトレーションテストを実施いただけます。
パッケージ詳細
外部からの脅威
- ASMハッキング -
脆弱な資産を特定して侵入
ASMツールを用いて、攻撃者に狙われる可能性が高い「脆弱な資産」を特定。
特定した資産に対して、実際に侵入テストを行うことで現状のリスクを評価。
こんな課題/要望を解決
- アタックサーフェスを把握したい。
- 流出情報をもとに攻撃されるリスクが存在していないか調査したい。
- 外部公開機器への侵入 -
VPN機器やルーターを狙って侵入
「VPN機器」や「公開Webサーバ」など、インターネットに公開している機器の脆弱性を悪用し、侵入の可否を調査。
こんな課題/要望を解決
- VPN機器やルーターなどを経由して内部ネットワークに侵入されないか確認する必要がある。
- インターネットに公開している資産に不正アクセスのリスクがないか調査したい。
- 侵入後の影響調査(外部) -
外部サーバに侵入された際の影響調査
Webサーバなどの外部公開しているサーバに侵入されたことを前提に、機密情報の窃取や横展開など、どこまで影響が及ぶかを調査。
こんな課題/要望を解決
- 外部公開サーバの脆弱性を突かれて侵入された場合、どの程度の被害があるかを把握したい
- 機密情報を盗まれる
- 管理者権限を奪われる
- 内部サーバに横展開される など
内部からの脅威
- 社内重要資産への侵入 -
乗っ取られた従業員端末から内部侵入
マルウェア感染などで従業員端末が乗っ取られたことを前提に、ファイルサーバやADサーバなど、社内の重要資産に侵入可能か調査。
こんな課題/要望を解決
- 従業員端末が乗っ取られたことを想定して、社内ファイルサーバ等の重要資産に侵入されないか調査したい。
- 侵入後の影響調査(内部)-
内部サーバに侵入された際の影響調査
内部サーバに侵入されたことを前提に、機密情報の窃取や横展開など、どこまで影響が及ぶかを調査。
こんな課題/要望を解決
- 内部サーバの脆弱性を突かれて侵入された場合、どの程度の被害があるかを把握したい
- 機密情報を盗まれる
- 管理者権限を奪われる
- 内部サーバに横展開される など
- Active Directory 侵入 -
ドメイン管理者権限を奪取
マルウェア感染などで従業員端末が乗っ取られたことを前提に、ドメイン管理者権限を奪取し、AD環境全体を乗っ取ることが可能か調査。
こんな課題/要望を解決
- 奪取された従業員アカウントから、AD環境全体を乗っ取られるリスクがないか調査したい。
- 悪意を持った従業員によってドメイン管理者のアカウントが乗っ取られるリスクを評価したい。
従業員を狙った脅威
- マルウェア感染 -
マルウェアで従業員端末を乗っ取り
標的型メールのマルウェアを開いたり、不正リンクにアクセスしてしまった場合、本当に影響があるのか、対策ソリューションは機能するのかを調査。
こんな課題/要望を解決
- 従業員端末が乗っ取られたことを想定して、社内ファイルサーバ等の重要資産に侵入されないか調査したい。
- ソーシャルエンジニアリング -
標的型メールで従業員のID/PASSを盗む
個別カスタマイズした標的型メールを送付し、従業員の開封リスクを可視化。
実際に偽サイトで認証情報を盗むことで、高リスクユーザの洗い出しが可能。
こんな課題/要望を解決
- より実践的で、自社に合わせた形の標的型メール訓練を実施したい。
- 偽サイトを用いてID/PASSを実際に盗み、リスクのあるユーザのセキュリティ意識向上を働き掛けたい。