ユービーセキュア、独自のフレームワークを活用した“ペネトレーションテスト”サービスを開始
- 2020/09/04 10:00
- SecurityInsight
ユービーセキュアは9月1日、スピーディかつ広範囲をカバーするペネトレーションテストサービスの提供を開始することを発表した。昨今のサイバー攻撃トレンドや実際の事例に基づく攻撃手法、10年を超えて蓄積してきた脅威情報などをベースに数百の脅威シナリオを用意し、利用者の環境や資産に合わせたシナリオを抽出、最適なテストプランを提案する。また、ペネトレーションテストで重要なフェーズである「脅威分析・シナリオ作成」に網羅性とスピードを持たせている。
同社のペネトレーションテストは、まず対象システムにおける脅威を想定し、脅威シナリオおよび攻撃シナリオを作成。作成したシナリオをベースに実際に現実世界で起きている攻撃手法を用いてテストを実施する。実際のサイバー攻撃のように「攻撃対象に合わせてカスタマイズされた攻撃」を再現することができ、セキュリティリスクやシステム耐性を明確化できる。
脅威分析・リスク評価では、対象システムにおける情報資産・データフロー・機能・アクターなどのシステム情報と、現実世界で起きている脅威情報から脅威分析を行なう。脅威分析によって明らかになったそれぞれの脅威に対してリスク評価を行ない、脅威シナリオおよび攻撃シナリオ作成・選定することでペネトレーションテスト実施内容を決定する。このプロセスにより対象システムにおける脅威・リスクが明確化されることで、対象システムにおいて優先的に守られるべきポイントの整理が可能になる。
脅威分析および脅威情報収集により作成した脅威シナリオをベースに、ペネトレーションテストを実施。実際に疑似サイバー攻撃を行ない、脅威シナリオで設定された攻撃者の目的が達成できるかどうかテストすることで、対象システムにおいて脅威に対するセキュリティ対策状況が十分であるかどうかを確認し課題を明確化する。