DX(デジタルトランスフォーメーション)の進展と浸透に伴い、企業が利用するシステムやアプリケーションは従前に比べて多様化しています。特にクラウドサービスの利用や自社開発のモバイルアプリの増加が顕著となり、自社だけでなく顧客のリスクもそれに伴い増加しています。このような状況下において、システム開発時、リリース前、リリース後の定期的な脆弱性診断の重要性が、社会インフラの安全性を維持する上で不可欠な取組みであると認知され始めています。
脆弱性診断(システム・ネットワーク)
企業が保有する重要なシステムやネットワーク機器に、設定上の不備や脆弱性が存在するかを、脆弱性検査ツールや手動オペレーションによって評価し、改善案を策定します。
偵察:Reconnaissance | 診断対象となるサーバ、ネットワーク機器等の特徴や診断を実施するための情報を収集 ・診断対処IP ・オープンポートの調査、特定 ・稼働アプリケーション・サービスの調査、特定 |
---|---|
調査:Scan | 偵察フェーズ完了後、対象システム、機器の調査を実施 ・脆弱性診断ツールによるスキャン ・評価項目に沿った評価 |
侵入と検証:Exploit & Verify | スキャン結果の妥当性や、さらなる侵入が可能かを、手動オペレーションにより検証 ・脆弱性診断ツールのスキャン結果の手動検証 ・パスワード推測等の疑似攻撃の施行 |
KPMGでは、ペネトレーションテストのフレームワークとして業界認知されたOSSTMMv3、PTES(Penetration Testing Execution Standard)、OWASP Testing Guides等をベースにした体系的な診断を提供します。
【実施プロセス】
脆弱性診断(エンドポイント)
企業が保有するエンドポイントに対し、外部サービスおよびツールを用いたエンドポイントの実態の可視化を行い、セキュリティリスク(脅威)を特定します。
本サービスでは、「潜伏」や「侵害」に対する脅威を発見し、「入口」対策および「出口」対策を含めた改善案および、対策の優先順位を明確にします。
<診断の特徴>
ツールによるエンドポイントの実態(ファクト)の把握
エンドポイント管理は、ルールについては企業として定めているものの、大部分の運用・管理は利用者に任されています。そのため、エンドポイントの利用状況や稼働状況の実態を企業として把握することが出来ていません。
本サービスではインストールが不要のツールを用いた診断を行い、数多くあるエンドポイントの実態を把握することが可能となります。
セキュリティ対策の「すり抜け」への対応
エンドポイントの実態を把握することで、「入口」「出口」の対策の「すり抜け」状況や対策の有効性・妥当性を確認することが出来ます。各セキュリティ対策製品の「すり抜け」に対し、必要な追加対策を講じることで、セキュリティレベルの向上が可能となります。
よりプロアクティブなセキュリティ対策
「人」+「テクノロジー」による内部対策に係るプロアクティブなセキュリティ対策となり、SIEMでは早期発見が難しい「潜伏」や「侵害」に対する脅威を発見することが可能です。攻撃者への猶予を極力与えず、対策を講じていくことで、セキュリティレベルの向上が可能となります。
コンフィグレーションレビュー
TLPT(脅威ベースペネトレーションテスト)で培ったナレッジや、準公的な設定情報のガイドライン(CISベンチマーク)を加味して、専門的見地に立って支援します。
<KPMGグローバルの知見>
KPMGは国内およびグローバルにおいて多くのレッドチーム演習やTLPT(脅威ベースペネトレーションテスト)の実績を有しており、サーバOS等が具備すべき設定レベルでのセキュリティ強度を熟知しています。その知見を診断項目の十分性の検証に活かします。
- リモートエクスプロイト(不正アクセス等)のリスク
- ローカルエクスプロイト(特権昇格等)のリスク
- 認証突破(ブルートフォース、rootログイン等)のリスク
- サーバ上での武器化のリスク
- 踏み台として他のサーバに侵攻するリスク
- トレーサビリティ上のリスク、など
<CISベンチマーク>
CISベンチマークはCIS(Center for Internet Security)が開発している、サーバOSやアプリケーション、クラウドサービス、ネットワーク機器等のコンフィグレーションのためのガイドラインであり、さまざまな種類のコンフィグレーションについて診断することが可能です。
モバイルアプリケーション診断
エミュレータまたはテスト用デバイスを用いたクライアントサイドとコミュニケーションチャネルのテストを、OWASP MASVSの観点で実施し、評価します。机上評価と実機評価のギャップを分析することで、開発における実装や品質テストにおける問題点をあぶり出すことが期待できます。
KPMGではグローバル金融機関(銀行)をはじめ、豊富なモバイルアプリ診断実績を有しています。
関連サービス
- ゼロトラストセキュリティアーキテクチャ
- 内部からの情報持ち出し対策支援
- クラウドセキュリティ支援サービス
- リモートワーク導入におけるセキュリティ対策
- IDアクセス管理サービス
- IAMにおけるコスト最適化
- 特権ID管理構想策定支援
- サイバーセキュリティ監視高度化
- インシデントレスポンス高度化CSIRT構築
- レッドチーム演習/脅威ベースのペネトレーションテスト(TLPT)
- 脅威インテリジェンス