ラックの「ペネトレーション(侵入)テストサービス」は、ユーザー企業の情報システムに対し、疑似的なサイバー攻撃を仕掛けることによって、弱点を発見するサービスである。ラックのエンジニアが、攻撃者と同様の手法を用いて、ユーザー企業の社内ネットワークや公開ネットワークを攻撃する。

ペネトレーション(侵入)テストサービスの概要 (出所:ラック)
[画像のクリックで拡大表示]

 例えば、検索サイトやSNS(ソーシャルネットワークサービス)などの公開情報から社員のメールアドレスを調べて、標的型攻撃メールを送信する。このほか、企業が公開しているサーバーや通信機器の脆弱性を調べ、これらの脆弱性を突いたサイバー攻撃を仕掛ける。

 これらの攻撃によって社内ネットワークへの侵入が成功した場合は、侵入箇所から他の端末へと侵入を繰り返して感染を拡大する。内部の機密情報を外部に持ち出すといったことも試みる。こうして、実施内容(シナリオ)ごとに、発生し得る被害を確認し、報告書にまとめて提出する。

 攻撃のシナリオは、ユーザー企業との打ち合わせによって決める。シナリオによって所要期間は異なるが、ラックのエンジニアが最低3カ月ほどを費やす。

 サービスを用意した背景は、金融機関など大手企業を中心に、ペネトレーションテストへの需要があったこと。これまで個別対応として提供してきた「レッドチーム演習」と呼ぶ侵入サービスを、今回「ペネトレーションテスト」としてメニュー化した。

ペネトレーション(侵入)テストサービスの概要
用途と機能ユーザー企業の情報システムに対して疑似的なサイバー攻撃を仕掛けるという手法によって、攻撃に対する弱点を発見するサービス
サービスの内容ラックのエンジニアが、攻撃者と同様の手法を用いて、ユーザー企業の社内ネットワークや公開ネットワークを攻撃する
攻撃の具体例検索サイトやSNSから社員のメールアドレスを調べて標的型攻撃メールを送信する。公開サーバーや通信機器の脆弱性を突いたサイバー攻撃を仕掛ける
成果物サイバー攻撃の実施内容(シナリオ)ごとに、発生し得る被害を確認し、報告書にまとめて提出する
所要期間ユーザー企業との打ち合わせによって攻撃のシナリオを決める。シナリオによって所要期間は異なるが、ラックのエンジニアが最低3カ月ほどを費やす
価格1000万円から2000万円程度(ラックのエンジニアが3カ月を費やすことを見込んだ価格)
発表日2017年12月20日
提供開始日2017年12月20日