ペネトレーションテストサービス

Spirent SecurityLabsのホワイトハッカーチームは、ベーシックな脆弱性スキャン、ペネトレーションテスト、さらに高位な診断サービスRed Teaming(TLPT)を提供いたします。

ホワイトハッカーとは?

悪意のあるハッカーと同等以上の知識と技術を使用して、対象の脆弱性や問題点を診断し、その結果を悪意のあるハッカーから守るために利用する善良なハッカー。

脆弱性スキャンとは?

一般的に公開されている脆弱性が存在するか確認するための、ツールを使用した診断です。費用を抑えて網羅的に診断できる一方で、攻撃を受けた際のリスク評価が難しい面があります。

ペネトレーションテストとは?

スキルを持った攻撃チームによるソフトウェア、インフラストラクチャ、ネットワークに対する攻撃です。セキュリティの弱点を探し、機密情報にアクセスするために実際に侵入を試みます。
ペネトレーションテストは脆弱性スキャンに加えて実施されます。スキャンで見つけた脆弱性や、その他設定誤りなどの情報を利用するなど、攻撃者が実行する攻撃を試して結果を診断します。

ペネトレーションテストによってネットワークやIoTデバイス、ウェブ&モバイルアプリケーションなど試験対象が持つ潜在的なセキュリティホールが分かります。常に攻撃者より先行してこれらの試験を実施することでリスクを見つけ、回避することに役立ちます。

TLPTとは?

Threat Led Penetration Testの略で、Red Teamingとも言われます。脅威情報や様々な攻撃手法を利用することで、実際のハッカーによる攻撃を再現し、その結果とフローを評価する試験。

SpirentのRed Teaming(TLPT)とは

ペネトレーションテストで洗い出した情報とインターネット上に溢れている情報の活用(OSINT)、電子メールを使用したフィッシング等の攻撃を組み合わせるなど、実際のハッカーの攻撃を再現してゴール達成の可否について評価します。

SpirentのRed Teaming(TLPT)で設定されるゴールの例

  • 生産ラインの停止
  • CEOオフィスへのアクセス
  • 社内ネットワークへの不正なアクセスを確立
  • リモートアクセスツールの埋め込み
  • 機密文書や知的財産(開発データなど)を盗む
  • アクセス制限区域への侵入
  • 不正送金
  • 決済カード情報へのアクセス

SpirentのRed Teaming(TLPT)で使用される技術(抜粋)

  • オープンソースインテリジェンス(OSINT)
  • ネットワーク上および物理的な監視
  • バッジのクローニング
  • REx(終了要求)センサーの作動
  • 不適切に保護されたドアラッチの使用
  • 鍵の監視またはブルートフォース攻撃
  • 共連れ
  • ソーシャルエンジニアリング
  • フィッシングとビッシング
  • USBのばらまき