キヤノンITS、攻撃者視点でシステムに侵入を試みて脆弱性を検査するセキュリティサービスを提供

　キヤノンITソリューションズ株式会社（以下、キヤノンITS）は27日、ゼロデイ攻撃などのサイバー攻撃に対する、キヤノンITSの技術者によるセキュリティサービスとして、これまで提供していたマルウェア解析とスレットハンティングに続き、新たに「ペネトレーションテストサービス」を提供開始した。

　ペネトレーションテストサービスは、攻撃者の視点でシステムへ侵入を試みて脆弱性を検査することで、サイバー攻撃に対するシステムの耐性を検証し、改善に役立てられるサービス。

「ペネトレーションテストサービス」概要図

　顧客が懸念しているセキュリティ課題をヒアリングし、多くの「攻撃の起点」と「ゴール」の組み合わせから最適なシナリオを提案する。攻撃の起点が外部の場合は、外部の攻撃者の立場から診断を始め、WebアプリケーションやVPNなど、インターネットに面しているシステムに対する一般的な攻撃ベクトルを使用して、顧客環境に侵入を試みる。このテストは表層的なセキュリティ機能の評価に適している。

　攻撃の起点が内部の場合は、攻撃者が既にサーバーやVPNのアクセス権を持っている状態から診断を始める。SSHやVPNなどのテスト用に払い出されたアカウントから、顧客が想定しなかった機密情報にアクセスできるかを試す。このテストは、万が一攻撃を受けた場合のセキュリティ抵抗力の評価に適している。

　ゴールとしては、システムの認証を突破する、セキュリティ機器の保護を突破する、Active Directory管理者権限の奪取、・サーバーに設置された目的ファイルの奪取、サーバーに設置された目的ファイルの暗号化などを想定する。

　ペネトレーションテストサービスの価格は200万円（税別）から。キヤノンITSでは、ペネトレーションテストサービスに加え、今後もクラウドリスク評価診断などアセスメントサービスの拡充を通じて、情報漏えい対策に課題を抱える顧客をワンストップで支援する体制を強化するとしている。