ペネトレーションテスト

実際に「サイバー攻撃を受けた際の影響」を把握できていますか？

12,000件以上のサービス提供実績

LANSCOPE プロフェッショナルサービス

ペネトレーションテストとは

ペネトレーションテストとは、実際に行われる攻撃を疑似的に再現し、組織における既存のセキュリティ対策への評価を行うサービスです。具体的には、端末の遠隔操作やソフトウェアの脆弱性を悪用した感染拡大、AD（Active Directory）攻略といった一連の攻撃に対して、十分に対応できるか等の評価を行います。

LANSCOPE プロフェッショナルサービスでは「情報の窃取」や「サービス停止」といった実際に起こりうるサイバー攻撃のシナリオを作成し、その目的が達成できるかをテストすることで、「APT攻撃^※1」や「ランサムウェア^※2」によって実害に至る可能性等を検証し、最適な対策方法を提示します。

※1 APT攻撃：Advanced Persistent Threat攻撃の略で、長期的に潜伏し継続的に攻撃を行う高度な攻撃を指す用語です。業務端末を遠隔操作し、内部ネットワークに長期的に潜伏し、高度な手法で情報を盗み出します。

※2 ランサムウェア：金銭窃取目的のマルウェアを指す用語です。近年では端末の遠隔操作の機能を持つタイプが主流でありデータの暗号化と重要情報の外部公開を示唆する二重脅迫の被害が増加しています。

LANSCOPE プロフェッショナルサービスの
ぺネストレーションテスト　提供イメージ

LANSCOPE プロフェッショナルサービスのぺネストレーションテストでは、業務で利用している端末がマルウェアに感染した場合を想定し、当社のペンテスタ（専門の技術者）が端末を操作することで、マルウェアの挙動を疑似的に再現しています。

マルウェアの振る舞い（情報収集、端末探索、認証情報窃取、感染拡大、外部送信など）等、ハッカーが実施する一連のシナリオを再現することで、マルウェアの脅威に対する既存対策の評価をテストします。

ペネトレーションテストはなぜ必要なのか

マルウェア感染により、サーバー上のファイル暗号化による身代金要求の事件がニュースとなっています。これらの被害は金銭的な被害を受けるリスクだけでなく、情報漏えいやサービスの提供が停止することにより社会的な信用失墜のリスクにつながります。

ペネトレーションテストでこれらのリスクを事前に把握することで、効果的な対策を図ることが可能です。また、既に多くのセキュリティ対策を実施されている企業様については、取り組まれてきたセキュリティ対策の有効性について、確認する指標とすることができます。

ペネトレーションテストと脆弱性診断サービスの違い

ペネトレーションテストと脆弱性診断の違いは、その目的とアプローチの方法にあります。脆弱性診断ではシステム全体の脆弱性を網羅的に洗い出すことで、攻撃者の侵入経路となりうるセキュリティの不備や脆弱性を明らかにすることが目的です。

一方ペネトレーションテストでは疑似攻撃を行うことで、既存のセキュリティ機能が有効であるかや、その被害レベルを調査することが目的となります。通常の脆弱性診断では実施しない攻撃や侵入をシナリオに基づき再現することで、システムが実際に攻撃を受けた際の侵入経路や課題点、どれだけの被害が及ぶかなどを明らかにすることが可能です。

脆弱性診断とペネトレーションテスト、どちらを選ぶべきか悩んだ際は、両者ともに実績豊富な当社までお気軽にご相談ください。

お問い合わせはこちら

セキュリティに関する、こんな課題・悩みはありませんか？

case.1

他社のサイバー攻撃被害を聞き、
自社のセキュリティ環境に不安がある

同業他社が「ランサムウェアの被害で業務停止になった」というニュースを見た。多額の身代金が要求され、業務も長期間停止している。経営層から「うちは大丈夫か確認してほしい」と指示されたが、何をどう進めていいかわからず、経営層への報告にも困っている。
case.2

自組織のセキュリティ対策が有効か、
現状を検証したい

テレワークの開始に伴いセキュリティ製品の導入を行ったが、テレワーク環境でマルウェア感染などが発生した際、情報漏えい等のリスクが無いか不安である。現状のセキュリティ対策に問題ないか、第三者に検証してもらいたい。
case.3

ペネトレーションテストを実施したいが、
費用が高い

関係省庁や取引先からペネトレーションテストを実施するよう通達があり、複数の事業者から見積もりを取得したものの、費用が想定より高く困っている。なるべく予算を抑えながらも、高品質なペネトレーションテストを依頼したい。

当社のペネトレーションテストサービスは、技術力と豊富な経験を持つ専任の技術者が担当します。上記のようなお客さまのお悩みを解決しながら、お客さまにあった最適なペネトレーションテストサービスを提供します。

LANSCOPE プロフェッショナルサービスの
ペネトレーションテストが選ばれる理由

対話重視の丁寧な対応と経営層を意識した報告

昨今の企業内ネットワークは複雑化しており、ペネトレーションテストのアプローチにもさまざまな方法があります。そのためテストの目的やシナリオについては、お客さまと共通理解を作りながら慎重に進めなければなりません。当社では丁寧なヒアリングを徹底し、お客さまの不安を解消しながら進めることで、安心感のあるサービスを提供します。また、経営層への報告を考慮したサポートやセキュリティ対策のアドバイスを行います。
経験豊富な技術者による高品質なテスト

当社は、これまでペネトレーションテストや脆弱性診断サービスを提供してきた多くの実績があり、豊富な知見と経験を備えた技術者が在席しています。特にペネトレーションテストでは最新の攻撃手法に対応したテストを実施するため、脆弱性を突く新たな脅威へのリスク把握・対策が可能です。
費用対効果の高いサービス

お客さまの環境やご予算に合わせて、最適なテストシナリオ（攻撃の流れ）を作成します。時間をかけ深く広く行うシナリオだけでなく、短期間でポイントを押さえたシナリオを作成するなど、柔軟にお客さまのご要望に合わせて費用対効果の高いサービスを提供します。

ペネトレーションテストの流れ

以下のフローにて、シナリオ構築からペネトレーションテストの実施・結果報告までを行います。お客様のご要望に応じて、テスト結果の報告会も実施させていただきます。

ペネトレーションテスト報告書イメージ

総評に加え、シナリオごとのテスト結果をわかりやすくまとめた報告書を提出します。シナリオに沿ったテストを行う過程で発見された、システムの弱点について想定される被害・最適な対策方法を記載しています。

経営層向けに実施内容、結果について分かりやすくまとめた資料をお出しすることも可能です。Good point・Weak pointで結果を記載し、視覚的に分かりやすい構成の資料です。

サマリ資料の項目例

ペネトレーションテスト報告書サンプルをダウンロードいただけます。

ペネトレーションテスト報告書サンプル

シナリオ毎のテスト結果と、想定される被害・最適な対策方法を記載した報告書のサンプルをご覧いただけます。

お申し込みはこちら

価格

参考価格：200万円～

※実施シナリオによって料金は変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

お見積もりを依頼する

よくあるご質問

Q.ペネトレーションテストの「実施シナリオ」の例を教えてください。

A.例えば、「本社オフィス内の端末でマルウェア感染が発生した際に、ドメイン管理者の奪取及び重要情報の持ち出しが行えるか。」といったシナリオがございます。
Q.ペネトレーションテストはどのくらいの頻度で行えばいいですか？

A.新規構築、ネットワーク構成変更のタイミングで実施されるお客様が多いです。加えて、サイバー攻撃の手法は日々進化しているため、最低でも年1回の定期的なテスト実施を推奨しています。
Q.ペネトレーションテストの所要期間はどのくらいですか？

A.最短２日～２週間程度で実施します。対象の端末やシナリオの数によって期間は増減します。
Q.ペネトレーションテストと脆弱性診断、どちらを優先して行うべきですか？

A.可能であれば、脆弱性診断を先に行うことを推奨しています。セキュリティホールなどを塞いだ上で、ペネトレーションテストを実施する方がより効果的です。
Q.ペネトレーションテストは初めてなのですが、何から始めればよいですか？

A.お客様のネットワーク構成をヒアリングし、確認したいリスクに合わせて適切なシナリオを検討します。まずはお気軽にご相談ください。

お客様の課題を解決する
最適なプランを
ご提案します。

まずはお気軽にお問い合わせください。