ラックは2017年12月20日、企業が利用するITシステムに疑似攻撃を仕掛け、サイバー攻撃に対する弱点を発見する「ペネトレーション(侵入)テストサービス」を発表、同日提供を開始した。平均的なサービス提供価格は、ラックのセキュリティ技術者が最低3カ月ほどを費やすことを見込み、1000万円から2000万円。
ラックの「ペネトレーション(侵入)テストサービス」は、同社のセキュリティ技術者が、攻撃者と同様の手法でインターネットを介してユーザー企業の社内ネットワークや公開ネットワークに疑似攻撃を仕掛けるサービスである。
図1:ペネトレーション(侵入)テストサービスの概要(出典:ラック)拡大画像表示
具体的には、検索サイトやSNSなどの公開情報からメールアドレスを特定し、標的型攻撃メールを送付する。また、公開サーバーや通信機器の脆弱性を調べ、ネットワーク経由で疑似攻撃を仕掛ける場合もある。
こうした攻撃によって社内への侵入が成功した場合には、侵入箇所から他の端末へと侵入し、感染拡大、内部情報の外部持出などを試み、発生し得る被害をシナリオに応じて確認し、報告書にまとめる。
実施内容(シナリオ)は、導入を希望する企業との打ち合わせにより、要望に沿って作成する。シナリオによって所要期間は異なるが、ラックのセキュリティ技術者が最低3カ月ほどを費やすことを見込んでいる。
サービス提供の背景について同社は、金融機関をはじめ大手企業を中心にペネトレーションテストに対するニーズが急拡大していることを挙げている。「これまで個別に対応していたレッドチーム演習と呼ぶ侵入を中心としたキュリティサービスを、今回、ペネトレーションテストとして正式にサービス提供する」(同社)。
