キヤノンITソリューションズ(キヤノンITS)は2023年11月27日、セキュリティサービス「ペネトレーションテストサービス」を提供開始した。サイバー攻撃者の視点からITシステムに侵入を試行し、攻撃に対して脆弱な要素を特定する。キヤノンITSの技術者が提供するセキュリティサービスとして、マルウェア解析、スレットハンティングに続いて提供する。価格(税別)は200万円から。
キヤノンITソリューションズ(キヤノンITS)の「ペネトレーションテストサービス」は、キヤノンITSの技術者がユーザー企業のITシステムにペネトレーションテスト(侵入テスト)を実行するセキュリティサービスである。サイバー攻撃者の視点から侵入を試行し、攻撃に対して脆弱な要素を特定する(図1)。
図1:「ペネトレーションテストサービス」の概要(出典:キヤノンITソリューションズ)拡大画像表示
ペネトレーションテストの認定資格を持つエンジニアが、ユーザーのセキュリティ上の課題をヒアリングしたうえで、攻撃の起点とゴールの組み合わせから適切なテストシナリオを提案する。テストで検出された脆弱性を、再現手順、改善策、優先度などの情報を含めて報告する。報告書は、ペネトレーションテストの標準である「NIST 800-115」「PTES」に準拠する。
攻撃の起点として、外部の攻撃者の立場から診断を始める。WebアプリケーションやVPNなど、インターネットに面しているシステムに対する一般的な攻撃ベクトルを使って、ユーザー環境への侵入を試みる。SSHやVPNなどのテスト用に発行したアカウントから、ユーザーが想定しなかった機密情報にアクセスできるかを試すことで、攻撃を受けた場合のセキュリティ抵抗力を評価する。
攻撃者によるゴールの例に、「システムの認証を突破」「セキュリティ機器の保護を突破」「ActiveDirectory管理者権限の奪取」「サーバーに設置された目的ファイルの奪取」「サーバーに設置された目的ファイルの暗号化」などがある。
キヤノンITSの技術者が提供するセキュリティサービスとして、マルウェア解析、スレットハンティングに続いてペネトレーションテストを提供する。キヤノンITSは今後、クラウドリスク評価診断などのアセスメントサービスを拡充する予定である。
「攻撃者は脆弱性を突く攻撃手法を常に進化させており、企業は自社システムにおけるセキュリティの弱点を早期に発見することが不可欠である。一方、その手法の1つである既存の脆弱性診断は、主に既知の脆弱性を網羅的に検査することに重点を置いており、未知の脆弱性や複合的な攻撃シナリオを発見することが難しい」(同社)
