物理ペネトレーションテスト
人的・物理的セキュリティリスクとサイバーセキュリティリスクを評価
物理ペネトレーションテストとは
一般的にペネトレーションテストとは、インターネット等のネットワーク経由で疑似的なサイバー攻撃を行い、対象となるサーバやWebシステムへの侵入を目指す過程でリスクを検出するテストです。
そのテストの観点としては、アプリケーションおよびネットワークプロトコルの脆弱性や設定不備のような技術面に主眼を置いたものとなります。
一方、物理ペネトレーションテストでは、侵入対象となる建物や機密エリアへの物理的な侵入を試みます。
物理的なセキュリティ対策の突破や回避が可能か、従業員のセキュリティ意識や運用プロセスに不備がないかなど、テストの観点は技術面だけでなく人やプロセスに及びます。
さらに当社では、物理的な侵入試行に留まらず、業務端末や業務無線ネットワーク等のセキュリティ対策状況を評価します。物理的に侵入された結果どのような被害に繋がるかをサイバーセキュリティの観点から調査することにより、物理セキュリティリスクがお客様のビジネスと情報資産に及ぼす影響を明らかにすることができます。
物理的な侵入可能性および侵入後のサイバーセキュリティリスクを調査し
検出されたリスクへの対策を提示いたします
事前調査 |
対象組織への攻撃を開始する前に、情報収集を行います。イン夕ーネット上の公開情報を収集・分析するOSINT(Open Source INTelligence) と呼ばれる手法により、対象組織の所在地や従業員リストなど攻撃活動に役立つ情報を入手します。 | |
---|---|---|
物理侵入 |
対象組織の拠点に物理的に侵入します。ソーシャルエンジニアリングにより入館証を入手する、テールゲート(共連れ)を行う、防犯設備や入退管理システムを突破するためにICカードをスキミングするなど、現地の状況に応じて様々な手法により敷地や執務室に入り込みます。 | |
サイバー攻撃 |
サイバー攻撃を仕掛け、ネットワークヘの侵入や情報窃取を試みます。業務端末に特殊なUSBデバイスを挿入する、不正なデバイスをネットワークに接続する、業務用無線ネットワーク(Wi-Fi)の認証情報を窃取するなど様々な攻撃を実施します。また、現地の状況に応じて様々なリスクを評価します。 | |
報告 |
一連の調査や検証の実施内容、および検出されたリスクをご報告します。また、セキュリティレベルを改善するために必要な対策を提示します。 |
- お客様ご担当者にご同行していただきながら重要項目の検証を進めつつ、現地の状況や追加検証の可否など適宜ヒアリングさせていただくことで、万一のトラブルを回避しながらリスク評価を効率的に進めます。
- 攻撃側の活動や着眼点を間近で見ることができるため、ご同行いただくご担当者のセキュリティトレーニングとしても有効です。
物理ペネトレーションテストの実施スケジュール
ステップ | 概要 | 想定期間 |
---|---|---|
1. キックオフ | プロジェクト概要、スケジュール、成果物、体制の確認など | ー |
2. 事前準備 | 事前準備事項や注意事項の擦り合わせなど | キックオフからテスト実施まで (5営業日~) |
3. テスト実施 | 情報収集、攻撃環境の構築、攻撃活動の実施 | 2~3営業日程度 |
4. 報告書作成 | 攻撃活動の実施結果に基づく報告書の作成 | 2~3営業日程度 |
5. 報告会実施 | 攻撃活動の実施結果や推奨改善策の説明 | ー |
CSIRT MT.mss 連携サービスのご案内
CSIRT MT.mss 連携で、物理ペネトレーションテストとサイバー領域の診断結果を一元管理
外部からの脅威対策として、脆弱性とそれが悪用される状態の有無を継続的に評価・修復する一連のプロセス整備が、CTEM(Continuous Threat Exposure Management)として、スタンダードな考え方になってきています。
CTEMはサイバー領域への対策として語られていることが多いアプローチですが、物理セキュリティの観点でも非常に重要です。
継続的に物理ペネトレーションテストを実施し、発見された不備をすぐに改善していくことで、常に強固な防御レベルを維持できます。
当社の提供する CSIRT MT.mss では、様々な脆弱性スキャナーの結果を取り込むとともに、この物理ペネトレーションテストの結果も登録し、サイバー領域の診断結果と一元管理することで、現在の脆弱性の有無や対応状況の可視化とガバナンスが実現できます。
お問合せ・資料請求
サービス提供元
BarrierCrack合同会社
BarrierCrack合同会社は、国内初の
物理ペネトレーションテスト専門企業です。
協力体制
日本カウンターインテリジェンス協会(JCIA)との連携
人的セキュリティの評価を効果的に実施するため、ソーシャルエンジニアリングを防諜の見地から研究するJCIAと連携しています。