株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎、以下 ラック）は、当社のセキュリティ診断チームが顧客へ提供する診断サービスで得た知見から、巧妙に仕掛けられる標的型攻撃への次なる対策として注目される「ペネトレーションテスト」を特集して「セキュリティ診断レポート2020春」にまとめました。

近年、自社システムの安全性を評価するセキュリティ診断の必要性は認知されてきましたが、常に変化して狡猾化する標的型攻撃（ATP）において十分な対策を行っていたはずの大企業ですら、攻撃者の侵入を許し機密情報、個人情報漏えいの被害に見舞われています。脆弱性をなくすことは重要ですが、組織やシステムが大きくなるほど守るべき機器や調査すべき脆弱性の数が増えるため、全てにおいて対処することは出来ません。

そこで今回の診断レポートでは、昨今注目される「ペネトレーションテスト」の有用性を紐解きます。ペネトレーションテストは、組織の特性に合わせた現実的な攻撃シナリオに沿い、ハッカー侵入の可否や侵入後の影響をより踏み込んで調査することによって、従来のセキュリティ診断で解決させたセキュリティが実際の攻撃に耐えうるか、組織の攻撃耐性を確認できます。

セキュリティ診断レポート

■本レポートの特徴

1．高度化する攻撃と追従する診断技術

サイバー攻撃の高度化が進む中で「自組織の情報システムは本当に大丈夫なのか？」、それらの課題を確かめる手段として従来からのセキュリティ診断に加えて、ペネトレーションテストへのニーズが高まっている状況を説明します。

図1 セキュリティ診断とペネトレーションテストの特徴

2．ペネトレーションテスト動向と最適なシナリオ

図2は、ラックの救急対応サービスが出動したインシデントの原因別割合です。マルウェア関連インシデントが、全体の半数を占めていることが分かります。注目度が高まっている「ペネトレーションテスト」について、模擬攻撃の「筋の良いシナリオ」の考え方や、ラックで検出されやすい問題などについて説明します。

図2 2019年にラックが対応したインシデントの原因別割合

3．DX時代の不正対策。デジタルペネトレーションテストのあり方とは

企業や組織では、AIやIoTなどを活用したDX（デジタルトランスフォーメーション）への取り組みが拡大し、デジタルテクノロジーが活用される領域が広がっています。一方で、新たなテクノロジーの登場とともに進化する攻撃や不正行為に対し、企業としての対応が求められています。製造メーカにでは、従来のネットワーク機器の診断だけでなく、自社製品の製造で組み込まれたチップなどに至るまで、サイバーリスクの問題がないか気を配らなくてはいけない時代になりました。

図3 デジタル機器の脆弱性がサイバーリスク化

本レポートが、企業や団体のシステムを管理する関係者に広く活用されるとともに、近年のサイバー攻撃への備えの一助となることを期待しています。

レポートの詳細はこちらでご確認いただけます。

●セキュリティ診断レポート 2020 春 ～標的型攻撃への次の一手「ペネトレーションテスト」の最新情報

https://www.lac.co.jp/lacwatch/report/20200518_002192.html

【株式会社ラックについて】（ https://www.lac.co.jp/ ）

ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」など、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、企業・官公庁・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。

＊ ラック、LAC、JSOCは、株式会社ラックの国内及びその他の国における登録商標または商標です。

＊ その他、記載している会社名・団体名、製品名などは、各社の登録商標または商標です。