ユービーセキュアの「ペネトレーションテスト」は、情報システムに対して実際に侵入を試みて、システムの脆弱性を検出するセキュリティサービスである。数百の脅威シナリオを用意しており、ユーザーの環境や資産に合わせてシナリオを抽出し、テストプランを提案する。

脆弱性診断とペネトレーションテストの違い
(出所:ユービーセキュア)
[画像のクリックで拡大表示]

 サービスの流れは(1)計画の立案とスコープの定義、(2)脅威の分析とシナリオの作成、(3)テストツールの開発と準備、(4)テストの実施、(5)評価と報告、(6)サポート――となる。

 まず、対象システムの「脅威」を想定し、脅威シナリオと攻撃シナリオを作成する。攻撃対象システムの情報資産やデータフローといったシステム情報と、現実世界で起こっている脅威の情報を組み合わせて脅威を分析する。明らかになった脅威に対してリスクを評価し、脅威シナリオと攻撃シナリオを作成・選定する。脅威とリスクが明確になることで、優先的に守るべきポイントを整理できる。

 続いて、作成したシナリオをベースに、現実世界で使われている攻撃手法を用いて疑似サイバー攻撃を行う。実際のサイバー攻撃のように「攻撃対象に合わせてカスタマイズした攻撃」を再現できる。こうして、脅威シナリオで設定した「攻撃者の目的」が達成できるかどうかをテストする。対象システムの脅威に対するセキュリティ対策が十分かどうかを確認できる。

ペネトレーションテストの概要
用途と機能情報システムに対して実際に侵入を試みて、システムの脆弱性を検出するセキュリティサービス。数百の脅威シナリオから、ユーザーの環境や資産に合わせてシナリオを抽出し、テストプランを提案する
サービスの流れ(1)計画の立案とスコープの定義
(2)脅威の分析とシナリオの作成
(3)テストツールの開発と準備
(4)テストの実施
(5)評価と報告
(6)サポート
脅威シナリオと攻撃シナリオの作成対象システムの「脅威」を想定し、脅威シナリオと攻撃シナリオを作成する。攻撃対象システムの情報資産やデータフローといったシステム情報と、現実世界で起こっている脅威の情報を組み合わせて脅威を分析する。明らかになった脅威に対してリスクを評価し、脅威シナリオと攻撃シナリオを作成・選定する。脅威とリスクが明確になることで、優先的に守るべきポイントを整理できる
疑似攻撃テスト作成したシナリオをベースに、現実世界で使われている攻撃手法を用いて疑似サイバー攻撃を行う。脅威シナリオで設定した「攻撃者の目的」が達成できるかどうかをテストする。対象システムの脅威に対するセキュリティ対策が十分かどうかを確認できる
価格個別見積もり。実施例として、リモートワーク環境に対するペネトレーションテストが480万円、外部ペネトレーションテストが200万円など
発表日2020年9月1日
提供開始日2020年9月1日