報告書
脆弱性などのセキュリティ上の問題点の検出結果とその対策の報告に加え、疑似攻撃の検知能力やお客様のブルーチームの対応能力についての評価結果を記載します。
(報告書の構成および内容は、サポート範囲によって異なります。)
実施事例
事例1:SOC機能を持つセキュリティ部門のインシデント対応能力の評価
株式会社ふくおかフィナンシャルグループ様
- 背景や実施内容
- 過去に脆弱性診断やペネトレーションテストなどのセキュリティテストを段階に沿って実施しており、前年度から人・組織の観点でのインシデント対応能力を評価するTLPTを実施している。リモートワークの導入に伴い新しいシステム環境の運用を開始したことを踏まえ、これまでのテストで評価を行っていない領域として、社内ネットワークに攻撃者が侵入するケースを想定したTLPTを今回実施した。
- アプローチと結果
- 新しく導入したシステム環境および既存の社内システム環境それぞれに対して、現実的に起こり得る攻撃を想定した疑似攻撃の検知から復旧までの一連のインシデントレスポンスを実戦形式で評価した。また、攻撃者が社内ネットワークに侵入したことを想定してシステム・人・組織・プロセスの観点からセキュリティ上の問題点や対応における改善点の有無を調査した。
テストを通して、新しいシステム環境では導入した各種のセキュリティ監視機構の動作やインシデントレスポンスが想定通りに機能することが確認できた。既存のイントラネット環境においても、担当者に対するアラートの発報有無やその内容など、今までに実施していない観点での調査を実施でき、人・組織の面でのセキュリティ向上につながる気づきを得られた。
事例2:システムのセキュリティ対策および対応プロセスに存在するリスクや改善点の把握
A社
- 背景や実施内容
- EDRなどのセキュリティソリューションを導入したものの、実際に攻撃を検知するような状況がこれまでに発生していない状況であり、検知能力やアラートへの対応能力を把握できていない状態にあった。
これまでにペネトレーションテストは実施していたが、このような状況をふまえ、ペネトレーションテストを実施してシステムの弱点を発見するだけでなく、システムの弱点を悪用しようとする試行が行われた際に、対応プロセスに沿ってシステムでの検知・対応が問題なく行われるかを検証することを目的としたTLPTを実施した。 - アプローチと結果
- 社内システムにおけるPCのマルウェア感染を前提としたシナリオに基づいて、実際のAPT攻撃事案に共通して見られるキルチェーンに従った攻撃、およびそれに対するシステムでの検知やプロセスに沿った対応内容を検証した。
ランサムウェアを含む標的型マルウェアに感染した場合でも、ブルーチームの対応が攻撃事象を理解した上での隔離等の判断が行えていることから、強固なセキュリティ環境であることを確認した。一方で、導入しているセキュリティソリューションの品質に関して、サービスレベルが向上することでより迅速かつ的確な対応が可能となることが明らかとなった。
事例3:ランサムウェア感染に対するシステム面でのインシデント対応能力の評価
B社
- 背景や実施内容
- 同業他社のランサムウェア被害をきっかけに、自社のシステム環境では同様の攻撃を受けた際にどのような被害が発生しうるかを把握することの必要性が社内で挙がった。
これまでに脆弱性診断は実施していたもののペネトレーションテストは実施していなかったことから、マルウェア感染の際に、バックアップサーバなどシステムがどこまで暗号化されてしまうのか、セキュリティ製品でどこまで検知・対応ができるか、どのように対応すれば適切かを評価・検討することを目的としたテストを実施した。 - アプローチと結果
- ランサムウェア感染を前提としたシナリオに基づいて、ネットワーク経由での社内システムへの侵入可否や横展開可能範囲の調査、ランサムウェアによる暗号化可能範囲の検証を実施した。あわせて攻撃に関連するログやアラートの残存有無やその内容、インシデント対応時の状況をヒアリングし、問題点や改善点の有無を調査した。
システム上の問題点や、ログ、アラート、インシデント発生時の対応に関する改善点を把握することでセキュリティ担当部門を含む今後のセキュリティ対策の方針が明らかになった。
ペネトレーションテストとTLPTの違い
ペネトレーションテストは「現実的な攻撃シナリオを用いて、攻撃者の目的達成可否を実証する」テストです。テストの対象となるシステムにおいて、攻撃者にとっての目的の達成につながるセキュリティ上の問題点を洗い出すことを目的とします。
それに対してTLPTは、サイバー攻撃に対する対応能力(レジリエンス)の向上を主眼においた演習にあたります。TLPTの評価対象となる対応能力はシステム的な側面だけではなく、人や組織、プロセスの側面が含まれます。
| ペネトレーションテスト | TLPT/レッドチーム演習 | |
|---|---|---|
| 一言でいうと | 攻撃者の目的達成可否を実証するテスト | レッドチームとブルーチームの攻防形式の演習 |
| 目的 | セキュリティ上の問題点を洗い出すこと | サイバー攻撃に対する対応能力(レジリエンス)を向上すること |
| 対象 | システム ※ システムの運用を含むケースもある |
システムおよび人、組織、プロセス |
| レッドチームのアプローチ | 攻撃者にとっての目的を達成することを目指す | ブルーチームにとって最適な演習となるよう攻撃手法の難易度や頻度をコントロール |
| ブルーチームのアプローチ | 事前に取り決めた対応をとる(問題点をより多く洗い出すため、攻撃の遮断などはあえて行わないケースが多い) | 実際のサイバー攻撃発生時と同様に、攻撃を検知した場合の遮断や隔離などを行う |
| アウトプット |
|
※ 攻撃者の目的達成の成否や、システムにおけるセキュリティ上の問題点および対策についても報告するが、主目的ではない |
| ペネトレーションテスト | TLPT/レッドチーム演習 |
|---|---|
| 一言でいうと | |
| 攻撃者の目的達成可否を実証するテスト | レッドチームとブルーチームの攻防形式の演習 |
| 目的 | |
| セキュリティ上の問題点を洗い出すこと | サイバー攻撃に対する対応能力(レジリエンス)を向上すること |
| 対象 | |
| システム ※ システムの運用を含むケースもある |
システムおよび人、組織、プロセス |
| レッドチームのアプローチ | |
| 攻撃者にとっての目的を達成することを目指す | ブルーチームにとって最適な演習となるよう攻撃手法の難易度や頻度をコントロール |
| ブルーチームのアプローチ | |
| 事前に取り決めた対応をとる(問題点をより多く洗い出すため、攻撃の遮断などはあえて行わないケースが多い) | 実際のサイバー攻撃発生時と同様に、攻撃を検知した場合の遮断や隔離などを行う |
| アウトプット | |
|
※ 攻撃者の目的達成の成否や、システムにおけるセキュリティ上の問題点および対策についても報告するが、主目的ではない |
参考価格
TLPTは、お客様との打ち合わせにより、要望に沿った実施内容(シナリオや役割分担)を作成し提供します。そのため、本サービスは個別見積もりとなります。
(サービス構成や分担に応じて、1,000万円程度~の個別見積もりとなります。)