ネットワーク ペネトレーションテスト
Network Penetration Testing
サービス概要
ネットワーク ペネトレーションテスト(侵入テスト)は、企業のネットワークインフラに存在する脆弱性を特定し、攻撃者による不正アクセスや情報漏洩リスクを未然に防ぐことを目的としたセキュリティ評価サービスです。 ホワイトハッカーを擁するCyberCrewでは、業界における豊富な知見と実践経験をもとに、一般的なスキャナでは検出できない高度な脆弱性まで網羅的に評価し、具体的な対策をご提案します。
対応基準・準拠ガイドライン
OWASP Network Security Testing Guide
MITRE ATT&CK
(Enterprise / Network レイヤー)
CIS Controls(v8)/ CIS Benchmarks for Network Devices
NIST SP 800-115
(Technical Guide to Information Security Testing)
各種規制
(GDPR、ISO/IEC 27001、FISC安全対策基準 など)
主な脆弱性とリスクの例
| 脆弱性カテゴリ | 説明 |
|---|---|
|
インターネット公開範囲のリスク |
WebサーバやVPNなどの外部公開資産において、不要なポートや脆弱なサービスが開放されてい
るリスク。 |
|
社内ネットワークからの侵害拡大 |
一部の端末やアカウントが侵害された際、他の社内資産へ横断的に侵入できてしまう構成上の問題。 |
|
不適切なセグメンテーション |
ファイアウォールやアクセス制御が不十分で、本来分離すべきネットワーク同士が通信可能な状態。 |
|
OSやソフトウェアの脆弱性 |
パッチ未適用や古いサービス構成により、攻撃者に悪用される恐れのある脆弱性が残存している
状態。 |
|
認証情報の安全性 |
パスワードの使い回しや、平文での保存・送信、アクセス制御の不備による認証情報の漏洩リスク。 |
|
検知・対応体制の未整備 |
不審な通信やアクセスに対する検知・記録・対応が不十分で、攻撃に気づけないリスクが存在。 |
サービス構成
当社のペネトレーションテストは、お客様のネットワーク環境を多角的かつ 実践的な視点から評価するために、以下の体系的な構成で実施されます。
ネットワーク探索・スコーピングの実施
攻撃対象となるネットワーク範囲を把握し、通信可能なホストやポート、サービスを可視化 します。
- Nmap
- Masscan
- NetDiscover
脆弱性スキャン・影響評価
OSやサービスに存在する既知の脆弱性を検出し、影響度を評価します。
- Nessus
- OpenVAS
- Nexpose
エクスプロイトによる侵入試行
検出された脆弱性に対して実際の攻撃コードを使用し、侵入可能性を検証します。
- Metasploit Framework
- CrackMapExec
- カスタムスクリプト
パスワード・認証の強度検証
ID・パスワードの強度や再利用の有無を確認し、ブルートフォースやハッシュ解析を実施します。
- Hydra
- Hashcat
- John the Ripper
特権昇格と横展開の検証
重要情報へのアクセスや社内ネットワーク内の権限境界を評価します。
- Pivoting(踏み台を使った移動)
- ファイル・データアクセス試験
ポストエクスプロイト・内部検証
セキュリティインシデントの早期発見と追跡のため、ログ記録や監視機能の有効性を評価します。
- CloudTrailや監査ログの有効化状況
- ログの完全性
- セキュリティイベントに対するアラート設定
テストシナリオ例
外部および内部からのネットワーク侵入シナリオ
このシナリオでは、外部攻撃者および内部攻撃者(例:マルウェアに感染した端末や不正な社内ユーザー)が、ネットワーク内部の重要サーバー(Web・メール)へ不正侵入を試みる状況を再現し、セキュリティ対策の有効性を評価します。
検出結果(例)
- 外部からのアクセスに対するポート制限が不十分
- クライアントPCにおけるパッチ未適用、脆弱性あり
- 内部ネットワークのセグメント分離が不十分
- 管理者権限取得後、メールサーバーへのアクセスが可能
- ログ監視や侵入検知機能が不十分で、検知されずに攻撃が進行
主な検査対象領域
認証とアクセス制御の検証
ログイン認証やネットワークアクセスの制御が適切に構成されているかを確認します(例:MFA未設定、過剰な権限)。
サービスとポートの公開範囲確認
不要なサービスや開放ポートがインターネット上に露出していないか、攻撃対象となる範囲を特定します。
セキュリティ設定ミスの確認
デフォルト設定のまま運用されている機器、古いファームウェア、未使用のアカウントや設定の不備を評価します。
機密データの流出経路調査
ファイル共有やディレクトリサービス経由で、認証情報や個人情報が意図せずアクセス可能になっていないかを確認します。
権限昇格と横展開のリスク検証
内部ネットワーク内で不適切なアクセス権や設定により、侵入範囲が拡大可能かどうかを検証します。
監視・検知体制の評価(オプション)
攻撃の痕跡がログとして記録されているか、検知・通知の体制が整っているかを分析します。
テスト実施の効果
| 効果 | 説明 |
|---|---|
|
潜在的脆弱性の特定 |
最新の攻撃手法を適用し、自動診断では見逃されがちなネットワークの深層にある脆弱性や設定ミスを特定します。 |
|
攻撃経路の可視化 |
攻撃者が実際に侵入する可能性のある経路を明確にし、最もリスクの高いポイントから優先的に対策を講じることができます。 |
|
対策の優先順位付け |
発見された脆弱性の深刻度と影響度を評価し、限られたリソースの中で最も効果的なセキュリティ強化策を提案します。 |
|
法規制・ガイドライン対応 |
PCI DSS、GDPR、NISTなどの主要なセキュリティ基準や法規制への準拠状況を評価し、コンプライアンス要件を満たすための支援を行います。 |
|
事業継続性の確保 |
ネットワーク障害や情報漏洩による事業停止リスクを低減し、企業活動の安定性と信頼性を高めます。 |
レポート納品内容
発見された脆弱性の詳細から具体的な改善提案まで、貴社のセキュリティ強化に必要なすべての情報を網羅したレポートを納品いたします。
- エグゼクティブサマリー: 経営層向けの概要報告。主要な発見事項と ビジネスへの影響。
- 脆弱性詳細レポート: 各脆弱性の技術的な詳細、影響度、再現手順、 具体的な対策方法。
- 攻撃シナリオの図解: 攻撃者がネットワークをどのように侵入・展開 したかの図解。
- 改善提案とロードマップ: 優先順位付けされた対策と、今後のセキュ リティ強化計画。
- ブリーフィング: 報告書内容に関する説明会と質疑応答。
ペネトレーションテスト サービスご利用例
実際の費用は、ヒアリングの上、テストの対象範囲を決定した上で、個別にお見積もりいたします。
記載の前提条件に基づいた参考価格であり、金額を保証するものではありません。
-
小規模ネットワーク 100万円~
デバイス数が限られたスタートアップや小規模企業向け。1~2サブネット構成、外部公開されているルーターや少数のサーバーを対象とし、主に外周防御と設定ミスの可視化を目的とします。
-
中規模ネットワーク 250万円~
複数部門を有する中規模組織に最適。VLAN構成、25~100IP規模、クラウドやハイブリッド環境との連携を含みます。外部・内部両面の侵入検証、権限昇格テスト、ネットワーク分離の妥当性検証も実施。
-
大規模ネットワーク ASK
多拠点展開や複雑なネットワーク構成を持つ大企業向け。100IP以上、複数拠点・VPN・社内ドメイン・ディレクトリサービス・クラウドとの連携環境などを対象とし、より高度な脅威シナリオに基づく検証と詳細レポートを提供します。