シナリオ型ペネトレーションテスト
Scenario type Penetration Test Service
リアルな攻撃シナリオで
組織の弱点を可視化
標的型攻撃や内部不正、構成ミスを起点とした多段階攻撃など、
実際の攻撃は単一技術の脆弱性を突くだけではありません。
CyberCrewのシナリオ型ペネトレーションテストは、業務構成・権限構造・技術構成を踏まえた
"実害想定"に基づいた攻撃ストーリーをゼロから設計し、それに沿って模擬攻撃を行うサービスです。
技術的な突破だけでなく、情報の奪取、業務停止、機密流出など、
「何が起こるか」まで再現し、経営リスクを可視化します。
特徴とアプローチ
実害を想定したストーリー設計
- 攻撃者の目的・手段を想定し、段階的な攻撃フローを設計
- 内部感染、 lateral movement、情報奪取などの一連を再現
攻撃者視点で脆弱性を突く手法
- 攻撃者の視点で攻撃シナリオを設計・実行
- 現実的な脅威に対する対応力を可視化可能
人・組織構造を含めた脆弱性評価
- 技術構成に加え、権限設計・業務分断・認証運用の弱点も対象
診断の流れ
よくあるユースケース
特定の脅威シナリオの検証
- 機密情報窃取のシミュレーション:フィッシングから、社内ネットワークへ侵入、最終的な機密情報の持ち出しまで
- ランサムウェア攻撃の耐性評価:マルウェア感染から、データの暗号化、機密情報の持ち出しまで
- 重要インフラへの攻撃シミュレーション:制御システム(OT/ICS)、IoTデバイスなどの攻撃耐性を評価し、物理的な被害やシステム停止のリスクを検証
重大な変更後のセキュリティ確認
- 一般ユーザーによる特権昇格の試み:Active Directoryの脆弱性や設定ミスを悪用してドメイン管理者権限を取得しようと試みる
- 部門間のアクセス制御の迂回:別の部門の機密データに不正アクセスできるか、セグメンテーションの有効性を検証
定期的なセキュリティ評価・監査目的
- PCI DSS準拠のための検証:PCI DSSが求める特定の脆弱性(例:SQLインジェクション、セキュアでない設定)が悪用可能かどうかを重点的に検証
- GDPR/HIPAAにおけるデータ保護の検証:不正アクセスやデータ漏洩の経路がないかを、現実的な攻撃シナリオに基づいて検証
内部からの脅威対策
- クラウド移行後のセキュリティ検証:クラウド特有の設定ミス(例:S3バケットの公開設定、IAM権限の過剰付与)や、サービス間の不適切な連携ポイントを狙った攻撃シナリオを実行
- DevSecOpsパイプラインにおける継続的テスト:自動化されたツールと組み合わせつつ、手動によるシナリオベースのテストを継続的に実施し、リリースサイクルに合わせた迅速なセキュリティ評価を行う
| 企業分類 | 活用目的 |
|---|---|
|
大手企業(本社機能) |
横断的な守りの評価、経営報告用の定性リスク把握 |
|
重要インフラ系 |
業務連携を含むシナリオ型評価で実被害想定 |
|
監査/認証対応 |
年次監査や第三者証明としての活用 |
|
開発企業 |
システム設計段階での構成リスクの確認 |
よくあるご質問
脆弱性診断との違いは?
脆弱性診断は既知の問題をリストアップする「チェック」ですが、 ペネトレーションテストはその中でも”実際に悪用できるか”を検証します。 CyberCrewでは、ペネトレーションテストのすべてに脆弱性診断(ツール+手動)を内包しています。
シナリオ型と標的型、どちらを選べばよいか分かりません。
ご安心ください。お客様の目的・構成・予算に応じて最適な方式をご提案します。 まずはお気軽にご相談ください。