脅威/シナリオベース・ペネトレーションテスト
- TOP
- ソリューション・サービス
- セキュリティ
- 脅威/シナリオベース・ペネトレーションテスト
実施シナリオにもとづく
侵入調査から対策提案までを提供
脅威/シナリオベース・ペネトレーションテストでは疑似攻撃による不正侵入テストを実施、実際のサイバー攻撃と同等の疑似攻撃を仕掛けることで、システム全体のセキュリティレベルを評価します。
脅威/シナリオベース・ペネトレーションテスト診断の例
・発見された脆弱性を組み合わせたリスク評価
・脆弱なパスワードの洗い出し
・システムの設定ミスを悪用した攻撃リスク
・Exploitコードを利用したシステムへの侵入
・不正侵入後のリスク調査や権限奪取、他システムへのさらなる侵入
・脆弱性を悪用した権限昇格
脅威/シナリオベース・ペネトレーションテストのシナリオの立案
ペネトレーションテストは、Cyber Kill Chain および MITRE の ATT&CK を参考に、実施シナリオを立案いたします。
シナリオ例
・標的型メール攻撃による不正侵入
・公開システムに対する不正侵入
・(不正侵入後の)内部システムにおける侵入拡大
・(不正侵入後の)影響調査 または 組織内部者/運用担当者等による内部不正の可否、等
※実施シナリオは、お客様と協議の上で決定します
脆弱性診断を含む総合的なリスク評価を実施
サービス提供フロー
実施報告書
ペネトレーションテストの実施シナリオに応じて評価結果を取りまとめ、ご報告します。
・シナリオに対する評価結果(不正侵入等の可否)
・シナリオに対する侵入プロセス毎の評価(脅威、脆弱性、リスク、侵入可否、危険度、懸念事項)
・プロセスごとの実施結果(偵察、把握、侵入検査、影響調査など)
・推奨対策(対策案、対策強化へ向けた提言)
・留意事項、備考など
テスト実施例
例1:標的型メール攻撃による不正侵入
標的型メールによる組織内への侵入可否を評価します。
【攻撃手法(例)】
1. 不正プログラムを添付したメールを特定ユーザへ送付(着弾可否の評価)
2. 受信ユーザの環境において不正プログラムを実行(実行可否の評価)
3. 外部通信の発生による不正侵入(侵入可否の評価)
例2:公開システムに対する不正侵入
公開システムに対する侵入可否を評価します。
【攻撃手法(例)】
1. 公開システムに関する情報調査(悪用可能な公開情報有無の評価)
2. 公開システムにおける脆弱性の調査(脆弱性有無の評価)
3. 脆弱性悪用による不正侵入(脆弱性悪用による不正侵入の評価)
例3:内部システムにおける侵入拡大
(不正侵入後の)内部システムにおける侵入拡大の可否を評価します。
【攻撃手法(例)】
1. 内部ネットワークの調査(情報探索の評価)
2. 内部ネットワークにおける、他の端末またはサーバへの脆弱性の調査(脆弱性有無の評価)
3. 内部ネットワークにおける、他の端末またはサーバへの不正侵入(侵入可否の評価)
お役立ち資料
本資料では、サービス概要や特長、事例等について詳しくまとめています。
セキュリティ強化にご興味のある方は是非ご覧ください。
セキュリティイベント・セミナー情報
AGESTでは、セキュリティに関するイベントやセミナーを随時開催しております。
一覧はこちら
