ペネトレーション・テスト・サービス

重要資産のサイバー攻撃耐性を細部にわたって診断 

多くの組織では、重要資産を保護するためにできる限りのセキュリティ対策を講じています。しかし、対策の実効性を体系的に検証している組織は多くありません。Mandiantコンサルティングのペネトレーション・テスト・サービスは、セキュリティ・システムに潜む脆弱性や不適切な設定をピンポイントで突き止めて、重要資産のセキュリティ強化を支援します。

general-firewall2

概要

ペネトレーション・テスト・サービスでは、組織の重要資産を狙う実際のサイバー攻撃者と同じツール、戦術、手順(TTP)を用いて、テストを実施します。APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)グループの行動パターンを熟知した専門家が次の作業を支援します。

  • お客様が保有する重要データのリスク・レベルを確認
  • 攻撃者に悪用される前に複雑な脆弱性を発見、解消
  • 攻撃者の動機と目的を分析
  • 数値化された結果レポートで重要資産のリスクを定量的に把握
  • 重大なセキュリティ侵害につながる恐れのある脆弱性と不適切な設定を発見、解消

サービスの内容と特長

  • 経営幹部向けの概要レポート
  • 調査結果の再現に役立つ技術レポート
  • 事実に基づくリスク分析で結果を検証
  • 短期的な改善に向けた戦術的な推奨事項
  • 長期的な改善に向けた戦略的な推奨事項

M-Trends 2017:セキュリティ侵害およびサイバー攻撃の背景にある最新トレンド

特に影響が大きかったセキュリティ侵害やサイバー攻撃の調査結果をもとに、2016年のセキュリティ脅威トレンドを解析します。

レポートをダウンロード

M-Trends 2017 Infographic

世界各地で発生したセキュリティ侵害やサイバー攻撃の現場を調査したMandiantの知見からわかった、最新の攻撃トレンドや統計情報

武堂

実戦さながらのテストで 本当の問題点を把握し、意味のある改善を実施

ペネトレーション・テスト・サービスでは、環境固有の条件に合わせてカスタマイズされるため、テストの内容はそれぞれ異なります。また、任意に追加が可能な幅広いオプションが用意されており、必要に応じてセキュリティ体制のさらなる強化を図ることができます。

ペネトレーション・テスト 目的 メリット
外部ペネトレーション・テストのアイコン
外部ペネトレーション・テスト 外部ペネトレーション・テスト
インターネットに公開されているシステムやサービス、アプリケーションに存在する脆弱性を特定、悪用する インターネットに公開されているシステムやサービス、アプリケーションに存在する脆弱性を特定、悪用する インターネットに公開されている資産のリスクを把握する インターネットに公開されている資産のリスクを把握する
内部ペネトレーション・テストのアイコン
内部ペネトレーション・テスト 内部ペネトレーション・テスト
上位権限の取得、カスタム・マルウェアのインストール、外部へのデータ送信(テストでは偽のデータを使用)など、内部関係者の不正行為やエンドユーザー・システムに侵入した攻撃者の活動をシミュレートする 上位権限の取得、カスタム・マルウェアのインストール、外部へのデータ送信(テストでは偽のデータを使用)など、内部関係者の不正行為やエンドユーザー・システムに侵入した攻撃者の活動をシミュレートする セキュリティ侵害がもたらすビジネス・リスクを把握する セキュリティ侵害がもたらすビジネス・リスクを把握する
Webアプリケーション診断のアイコン
Webアプリケーション診断 Webアプリケーション診断
不正アクセスや情報漏えいにつながる恐れのある、Webアプリケーションやモバイル・アプリケーションの脆弱性を総合的に診断する 不正アクセスや情報漏えいにつながる恐れのある、Webアプリケーションやモバイル・アプリケーションの脆弱性を総合的に診断する 重要データへの中継点となるアプリケーションの安全性を把握する 重要データへの中継点となるアプリケーションの安全性を把握する
モバイル・アプリケーション診断のアイコン
モバイル・アプリケーション診断 モバイル・アプリケーション診断
モバイル・デバイスおよびデバイスにインストールされたアプリケーションの安全性を総合的に診断する モバイル・デバイスおよびデバイスにインストールされたアプリケーションの安全性を総合的に診断する 新開発のモバイル・アプリケーションや会社支給のモバイル・デバイスがもたらすリスクを把握する 新開発のモバイル・アプリケーションや会社支給のモバイル・デバイスがもたらすリスクを把握する
ソーシャル・エンジニアリングのアイコン
ソーシャル・エンジニアリング ソーシャル・エンジニアリング
詐欺的なEメールや電話、意図的に放置されたUSBメモリ、物理的なアクセスなど、人間心理を突く不正活動に対するセキュリティ意識と全般的なセキュリティ対策を診断する 詐欺的なEメールや電話、意図的に放置されたUSBメモリ、物理的なアクセスなど、人間心理を突く不正活動に対するセキュリティ意識と全般的なセキュリティ対策を診断する 人間心理を悪用した行為に対する社員や職員の反応を把握する 人間心理を悪用した行為に対する社員や職員の反応を把握する

無線テクノロジー診断 無線テクノロジー診断
802.xやBluetooth、ZigBeeなど、組織に導入されている無線ソリューションの安全性を診断する 802.xやBluetooth、ZigBeeなど、組織に導入されている無線ソリューションのセキュリティを診断する 無線経由で送受信されるデータや無線システムの安全性を把握する 無線経由で送受信されるデータや無線システムの安全性を把握する
組み込み機器のアイコン
組み込み機器およびIoT(Internet of Things)診断 組み込み機器およびIoT(Internet of Things)診断
組み込み機器のファームウェアを侵害する、組み込み機器に不正なコマンドを渡して制御する、組み込み機器からのデータを改ざんするなどの手段を用いて、組み込み機器の安全性を診断する 組み込み機器のファームウェアを侵害する、組み込み機器に不正なコマンドを渡して制御する、組み込み機器からのデータを改ざんするなどの手段を用いて、組み込み機器の安全性を診断する 組み込み機器の安全性を把握する。組み込み機器に対するコマンドおよび組み込み機器から返される情報の正当性を検証できているかどうかを調査する 組み込み機器の安全性を把握する。組み込み機器に対するコマンドおよび組み込み機器から返される情報の正当性を検証できているかどうかを調査する
ICSペネトレーションのアイコン
ICSペネトレーション ICSペネトレーション
ペネトレーション・テストおよび脆弱性テストの経験と、産業制御システム(ICS)に関する知識を有する専門家が、重要なICS/SCADAシステムに対して実行可能な操作の範囲(不正アクセスや脆弱性悪用など)を検証する ペネトレーション・テストおよび脆弱性テストの経験と、産業制御システム(ICS)に関する知識を有する専門家が、重要なICS/SCADAシステムに対して実行可能な操作の範囲(不正アクセスや脆弱性悪用など)を検証する 攻撃者に悪用される前にICSシステムの脆弱性を把握する 攻撃者に悪用される前にICSシステムの脆弱性を把握する

Mandiantのアプローチ

ペネトレーション・テスト・サービスでは、体系的な方法論に基づくテストにより、重要資産を危険にさらす脆弱性を発見します。このサービスは、標的の偵察、脆弱性のリストアップ、脆弱性の悪用、目的の遂行という4つのステップで構成されています。

標的の偵察では、社内システムやユーザー名、グループ・メンバーシップ、アプリケーションなど、お客様の環境に関する情報を収集します。

脆弱性のリストアップでは、悪用可能な脆弱性を調査し、最も効果的な活用方法を判断します。 

脆弱性の悪用 では、公開のエクスプロイト・コードや商用のペネトレーション・テスト・ツール、独自開発のエクスプロイト・コードおよびツールを駆使して、実際に脆弱性の悪用を試みます。

最後の目的の遂行 では、インターネット経由で内部システムにアクセスする、隔離環境からデータを窃取する、不正なコマンドでデバイスを使用不能にするなど、事前に定められた目的を遂行します。

さあ、今すぐ始めましょう。

当社が誇るセキュリティの専門家が、インシデント対応の支援やコンサルティング・サービスに関する疑問解決など、いつでもお手伝いできるよう準備してお待ちしています。

+1 888-227-2721 +61 281034308 +1 877-347-3393 +358 942451151 +33 170612726 +49 35185034500 +852 3975-1882 +91 80 6671 1241 +39 0294750535 +81 345888169 +03 77248276 +52 5585268207 +64 32880234 +48 223072296 +7 4954658084 +65 31585101 +27 105008408 +82 7076860238 +34 932203202 +94 788155851 +886 2-5551-1268 +27873392 +44 2036087538 +842444581914