NRIセキュア、短期間かつ低コストのペネトレーションテストサービス「Fast Pentest」を提供開始

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、サイバー攻撃の特定のシナリオに絞って短期間かつ低コストでペネトレーションテスト[i]を実施するサービス「Fast Pentest（以下、本サービス）」の提供を、本日開始します。

近年、国内外でランサムウェア感染などのセキュリティインシデントが増加していることを受け、多くの企業がペネトレーションテストによって自社システムの問題を把握し対策を講じようと考えています。しかし、通常のペネトレーションテストは、実施シナリオの検討から始まりテストの実施から報告まで一定の期間が必要で、費用や企業側での対応が増えてしまうという課題があります。

◆「Fast Pentest」の概要

本サービスでは、「外部の攻撃者が、Active Directory[ii]利用のWindows環境に侵入してドメイン管理者の権限を取得し、重要情報を外部に持ち出せるか」といった特定の攻撃シナリオに沿ってペネトレーションテストを実施します。
近年のセキュリティインシデントでは、従業員端末やVPN機器への不正侵入後にActive Directoryが掌握され、重要情報が外部に持ち出されるケースが増えています。本サービスではこういった攻撃への耐性を評価することができます。

本サービスの攻撃シナリオは以下の5段階に分かれます。NRIセキュアの専門家が、攻撃者の目線でシステムや権限ごとに攻撃目標を設定したうえで、段階ごとにテストを実施します。各攻撃目標を達成できなかった場合でも、後続の各段階は独立してテストを行い、システムの防御力を評価します（図を参照）。

①②：（配送[iii]と）初期侵害

③：端末攻略[iv]

④：侵入拡大

⑤：情報持ち出し

図：「Fast Pentest」の提供イメージ例

評価対象機器は、以下の2点です。

・自社のドメインに参加している社内OA端末1台

・Active Directory1台（※Entra IDは対象外です）

VPN機器などのリモートアクセスポイントを評価する場合は、オプションサービスとなります。

◆「Fast Pentest」のおもな特長

１．固定シナリオによって企業の対応負荷を軽減

シナリオが固定化されているため、準備段階において、企業とNRIセキュア間でテストをする対象機器を選定したり、シナリオを議論したりする必要がなく、通常のペネトレーションテストに比べて企業での対応負荷を低くすることができます。

２．短期間・低コストで実施

テストの実施項目が絞られているため、通常のペネトレーションテストでは実施に5営業日以上を要するケースが多いのに対し、本サービスでは最長5営業日での実施が可能です。テスト後に提出する報告書も、サマリ、指摘事項一覧、各指摘事項の説明/推奨対策といった技術的内容に絞っているため、通常のペネトレーションテストよりも短い期間で提供することが可能です。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/assessment/fast_pentest

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] ペネトレーションテスト：「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」、「セキュリティ診断などで発見されたシステムの問題点（脆弱性）を悪用された場合にどの程度の被害に繋がるか」を確認、検証するために、攻撃者目線で企業・組織のシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行うことです。

[ii] Active Directory（AD）：ユーザアカウント、コンピュータ、グループ、リソースなどの情報を中央管理するためのデータベースです。

[iii] ここでの配送とは、従業員が利用する一般端末へのマルウェアの配送を指します。

[iv] ここでの端末攻略とは、端末上のローカル管理者権限の奪取を指します。