脆弱性診断サービス

DX（デジタルトランスフォーメーション）の進展と浸透に伴い、企業が利用するシステムやアプリケーションは従前に比べて多様化しています。特にクラウドサービスの利用や自社開発のモバイルアプリの増加が顕著となり、自社だけでなく顧客のリスクもそれに伴い増加しています。このような状況下において、システム開発時、リリース前、リリース後の定期的な脆弱性診断の重要性が、社会インフラの安全性を維持する上で不可欠な取組みであると認知され始めています。

企業が保有する重要なシステムやネットワーク機器に、設定上の不備や脆弱性が存在するかを、脆弱性検査ツールや手動オペレーションによって評価し、改善案を策定します。

KPMGでは、ペネトレーションテストのフレームワークとして業界認知されたOSSTMMv3、PTES（Penetration Testing Execution Standard）、OWASP Testing Guides等をベースにした体系的な診断を提供します。

企業が保有するエンドポイントに対し、外部サービスおよびツールを用いたエンドポイントの実態の可視化を行い、セキュリティリスク（脅威）を特定します。
本サービスでは、「潜伏」や「侵害」に対する脅威を発見し、「入口」対策および「出口」対策を含めた改善案および、対策の優先順位を明確にします。

＜診断の特徴＞

ツールによるエンドポイントの実態（ファクト）の把握
エンドポイント管理は、ルールについては企業として定めているものの、大部分の運用・管理は利用者に任されています。そのため、エンドポイントの利用状況や稼働状況の実態を企業として把握することが出来ていません。
本サービスではインストールが不要のツールを用いた診断を行い、数多くあるエンドポイントの実態を把握することが可能となります。

セキュリティ対策の「すり抜け」への対応
エンドポイントの実態を把握することで、「入口」「出口」の対策の「すり抜け」状況や対策の有効性・妥当性を確認することが出来ます。各セキュリティ対策製品の「すり抜け」に対し、必要な追加対策を講じることで、セキュリティレベルの向上が可能となります。

よりプロアクティブなセキュリティ対策
「人」＋「テクノロジー」による内部対策に係るプロアクティブなセキュリティ対策となり、SIEMでは早期発見が難しい「潜伏」や「侵害」に対する脅威を発見することが可能です。攻撃者への猶予を極力与えず、対策を講じていくことで、セキュリティレベルの向上が可能となります。

TLPT（脅威ベースペネトレーションテスト）で培ったナレッジや、準公的な設定情報のガイドライン（CISベンチマーク）を加味して、専門的見地に立って支援します。

＜KPMGグローバルの知見＞
KPMGは国内およびグローバルにおいて多くのレッドチーム演習やTLPT（脅威ベースペネトレーションテスト）の実績を有しており、サーバOS等が具備すべき設定レベルでのセキュリティ強度を熟知しています。その知見を診断項目の十分性の検証に活かします。

• リモートエクスプロイト（不正アクセス等）のリスク
• ローカルエクスプロイト（特権昇格等）のリスク
• 認証突破（ブルートフォース、rootログイン等）のリスク
• サーバ上での武器化のリスク
• 踏み台として他のサーバに侵攻するリスク
• トレーサビリティ上のリスク、など

＜CISベンチマーク＞
CISベンチマークはCIS（Center for Internet Security）が開発している、サーバOSやアプリケーション、クラウドサービス、ネットワーク機器等のコンフィグレーションのためのガイドラインであり、さまざまな種類のコンフィグレーションについて診断することが可能です。

エミュレータまたはテスト用デバイスを用いたクライアントサイドとコミュニケーションチャネルのテストを、OWASP MASVSの観点で実施し、評価します。机上評価と実機評価のギャップを分析することで、開発における実装や品質テストにおける問題点をあぶり出すことが期待できます。
KPMGではグローバル金融機関（銀行）をはじめ、豊富なモバイルアプリ診断実績を有しています。