ニュートン・コンサルティングは2024年7月17日、セキュリティサービス「ペネトレーションテストサービス」を提供開始した。攻撃者の視点で作成したシナリオに沿って、企業のシステムに対して疑似サイバー攻撃を仕掛け、テスト実施計画書、攻撃シナリオ、テスト実施結果報告書などを作成・提供する。
ニュートン・コンサルティングの「ペネトレーションテストサービス」は、企業のシステムに対して疑似サイバー攻撃を実施し、その結果を評価するセキュリティサービスである。
「セキュリティ評価の手法としては脆弱性診断が一般的だが、ペネトレーションテストは評価の目的やアプローチが異なる。前者は脆弱性を網羅的に洗い出すのが目的で、後者は攻撃者が脆弱性を利用してシステムの侵入や情報奪取が可能かどうかを検証する」(同社)
攻撃者が実際に利用する手法やツールを用いて侵入を試みる。成果物として、テスト実施計画書、攻撃シナリオ、テスト実施結果報告書、などを作成する(図1)。
図1:「ペネトレーションテストサービス」の概要(出典:ニュートン・コンサルティング)拡大画像表示
攻撃者と同じ視点で対象システムに疑似攻撃を行うことで、自社のセキュリティリスクを洗い出す。外部からの攻撃に加え、内部侵入後の攻撃を想定するなど、ユーザーの要望に応じて各種のシナリオに沿ったテストを実施する。
図2はペネトレーションテストサービスの流れである。ユーザーの環境におけるセキュリティリスクからシナリオを提案する。シナリオのカスタマイズも可能である。疑似攻撃は、実際のサイバー攻撃で使われた攻撃手法などの情報を集約した国際的なフレームワーク「MITRE ATT&CK(マイターアタック)」に沿って実施する。テスト結果について、同社の見解を報告書にまとめる。
図2:「ペネトレーションテストサービス」の流れ(出典:ニュートン・コンサルティング)拡大画像表示
