ALSOKとGMOサイバーセキュリティ byイエラエ、不正侵入リスクを物理空間からサイバー空間まで一気通貫で可視化する診断サービスを提供

　ALSOK株式会社とGMOサイバーセキュリティ byイエラエ株式会社は29日、物理空間からサイバー空間まで一気通貫で不正侵入リスクを可視化するセキュリティ診断サービス「ALSOK & GMO サイバー物理ペネトレーションテスト」を共同開発したと発表した。

　同サービスは、ALSOKの創業60周年リブランディング後における初の商材となる。GMOサイバーセキュリティ byイエラエとしては、GMOインターネットグループ横断プロジェクト「ネットのセキュリティもGMO」の第6弾サービスとなる。

　両社では、サイバー攻撃対策が攻撃に耐えうるかを確認するために、現実の攻撃手法を用いてシステム等へ侵入を試みる「脅威ベースのペネトレーションテスト（TLPT：Threat-Led Penetration Testing）」による検証が重要となっていると説明。金融庁発行のガイドラインでは、対応が望ましい事項として定期的なTLPTの実施を促しており、同ガイドラインの実施事項を具体化した金融情報システムセンター（FISC）の安全対策基準でも2025年3月に「物理的なセキュリティもテスト対象となりうる」と明記されたことで、大手金融機関（銀行、証券、保険）から物理セキュリティを含むペネトレーションテストに関する引き合いがあるという。

　こうした背景を受け、
物理セキュリティに関する知見を有するALSOKと、サイバー空間のペネトレーションテストに関するノウハウを有するGMOサイバーセキュリティ byイエラエが連携し、物理侵入を足がかりとしたサイバー攻撃に焦点を当てた、新たなセキュリティ診断サービス「ALSOK 物理ペネトレーションテスト」と、物理空間からサイバー空間まで一気通貫で不正侵入リスクを可視化する新たなセキュリティ診断サービス「ALSOK & GMO サイバー物理ペネトレーションテスト」を開発した。サービスの開発には、物理ペネトレーションテスト専門ベンダーのBarrierCrack合同会社も参画し、技術を提供している。

サービスイメージ

　「ALSOK & GMO サイバー物理ペネトレーションテスト」は、ALSOKが長年培ってきた物理セキュリティに関する知見を活用した、多面的な評価と改善提案を提供する。欧州金融機関で実際に発生した、サイバー犯罪者が標的企業のオフィスに機器を持ち込み、企業内部ネットワークに接続する「DarkVishnya」攻撃をモデルにするなど、物理空間における不正侵入からサイバー空間における情報窃取までを想定し、顧客ごとの脅威を反映した攻撃シナリオでセキュリティ診断を実施する。

　世界トップレベルのホワイトハッカー集団として高い技術力を誇るGMOサイバーセキュリティ byイエラエとの連携により、サイバー領域との統合的な診断も可能となり、物理・サイバー両面からの包括的なセキュリティ強化を実現する。

　「ALSOK & GMO サイバー物理ペネトレーションテスト」の対象は、建屋への侵入から内部ネットワークへのアクセス可能性の検証、ネットワーク侵入後の目的達成可能性の検証までを含むが、顧客環境の制限がある場合などは、テスト対象を物理侵入やネットワークに限定したセキュリティ診断も可能。また、拠点内で検出された脆弱性の横展開による診断や盗聴器などの探索といった内容まで、顧客の要望に応じて幅広く柔軟にセキュリティ診断を提供する。

　テストを実施した顧客には、テスト実施の証として「ステッカー」を発行する。セキュリティへの投資、セキュリティを重要視する企業の姿勢を可視化することで、安全・安心な取引ができる企業であることを示せる。

　テストのリリースに先立ち、株式会社あおぞら銀行で物理ペネトレーションテストを実施した。この取り組みは、あおぞら銀行の経営層が主導し、物理的なアプローチを伴う高度なサイバー攻撃を受けた際のリスクを客観的に把握し、改善策の検討と対応力の強化を図ることを目的としたもの。

　テストは、現実の攻撃手法を模した脅威ベースのシナリオに基づき、物理的侵入から内部ネットワークへの到達可能性を検証する形式で実施した。防御側（ブルーチーム）への事前通知を行わずに実施したことで、技術的な脆弱性に加え、人的・運用面の対応力も含めた多面的な評価が可能となった。

　テスト後は同社経営層のリーダーシップのもと、検出された課題に対する改善活動が迅速かつ着実に進められており、サイバーセキュリティおよび物理セキュリティのさらなる強化が図られているという。