NRIセキュアテクノロジーズは2022年12月9日、企業のサイバー攻撃に対する防御態勢をペネトレーションテスト(侵入テスト)によって評価するサービスを提供開始した。ペネトレーションテストと評価に、米Mandiantの「Mandiant Advantage Security Validation(MSV)」を利用する。
NRIセキュアは、企業のサイバー攻撃に対する防御態勢をペネトレーションテスト(侵入テスト)によって評価するサービスを提供開始した。ユーザーのシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行う。
「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」「セキュリティ診断などで発見したシステムの問題点(脆弱性)を悪用された場合に、どの程度の被害につながるか」を確認・検証する(図1)。
図1:「Mandiant Advantage Security Validation」を用いたペネトレーションサービスのイメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
ペネトレーションテストは、米Mandiantの「Mandiant Advantage Security Validation(MSV)」を利用する。攻撃者の視点からの疑似攻撃によって、組織のセキュリティ対策の実効性を継続的に測定して実効性を検証するツールである。環境内のセキュリティギャップや設定ミスを特定して改善を促す。また、可視性およびパフォーマンスに関するデータを提供し、セキュリティ対策強化や投資最適化のための意思決定を支援する。
サービスでは、NRIセキュアのコンサルタントが、対象組織のネットワーク構成、システム、業務環境、重要情報の取り扱いについてヒアリングしたうえで、ペネトレーションテストを実施する。過去のセキュリティ診断結果などセキュリティ対策状況も踏まえ、目標を達成するための戦略を検討したうえで取り組む。
「サイバー攻撃の巧妙化とIT環境の複雑化に伴い、企業や組織が導入するセキュリティ対策製品の種類や数が増え続けている。導入した製品が有効に機能しているかどうかを定量的に測定し、継続的に改善のサイクルを回していくことは容易ではない。常に変化を続けるサイバー攻撃に対抗するには、ある時点の防御態勢だけを評価するのではなく、継続的かつ定量的に評価を行い、必要な対策を打っていく仕組みを整えることが重要である」(同社)
