ユービーセキュアは2020年9月1日、情報システムに対して侵入を試みてセキュリティ上の不備を検出するペネトレーションテストサービスの提供を開始した。数百の脅威シナリオを用意しており、ペネトレーションテストで重要なフェーズである「脅威分析・シナリオ作成」に網羅性とスピードを持たせた、としている。価格は個別見積もりで、実施例として、リモートワーク環境に対するペネトレーションテストが480万円、外部ペネトレーションテストが200万円。
ユービーセキュアが情報システムに対して侵入を試みてセキュリティ上の不備を検出するペネトレーションテストのサービスを提供開始した(図1)。数百の脅威シナリオを用意しており、ユーザーの環境や資産に合わせてシナリオを抽出し、テストプランを提案する。
図1:脆弱性診断とペネトレーションテストの違い(出典:ユービーセキュア) サービスの流れは、(1)計画立案・スコープ定義、(2)脅威分析・シナリオ作成、(3)テストツール開発・準備、(4)テスト実施、(5)評価・報告、(6)サポート、――である。
まず、対象システムにおける「脅威」を想定し、脅威シナリオと攻撃シナリオを作成する。作成したシナリオをベースに、実際に現実世界で起きている攻撃手法を用いてテストを実施する。実際のサイバー攻撃のように「攻撃対象に合わせてカスタマイズした攻撃」を再現できる。
対象システムにおける情報資産、データフロー、機能、アクターなどのシステム情報と、現実世界で起きている脅威情報を基に、脅威を分析する。明らかになった脅威に対してリスクを評価し、脅威シナリオと攻撃シナリオを作成・選定する。脅威とリスクが明確になることで、優先的に守るべきポイントを整理できる。
作成した脅威シナリオをベースに、ペネトレーションテストを実施する。実際に疑似サイバー攻撃を行い、脅威シナリオで設定した攻撃者の目的が達成できるかどうかをテストする。これにより、対象システムにおいて、脅威に対するセキュリティ対策状況が十分かどうかを確認する。
