脅威ベースのペネトレーションテスト(TLPT)にマネジメント監査を取り入れたペネトレーションテストサービスとしてリニューアル
〜 ホワイトハッカーを経営者の味方にするサイバーセキュリティサービス 〜
株式会社セキュリティイニシアティブ(本社:宮城県仙台市、代表取締役:小笠貴晴)は、ホワイトハッカーが実施する「脅威ベースのペネトレーションテスト」にセキュリティマネジメント監査人による網羅型のマネジメント監査を導入し、総合的に会社組織としてのビジネスリスク対策支援を行うサービスとして2019年8月5日(月)にリニューアルしました。
マネジメント監査をペネトレーションテストに導入することに得られる3つの特徴
・ホワイトハッカー単体やマネジメント監査人単体では実現できなかった組織としてのサイバーリスク対策を実施
・より広い視野で経営者に近い目線でのサイバーセキュリティ対策実施支援
・ワンストップで会社個別の現状をシステム、組織双方から理解した専門家によるサイバー経営リスク改善支援
・より広い視野で経営者に近い目線でのサイバーセキュリティ対策実施支援
・ワンストップで会社個別の現状をシステム、組織双方から理解した専門家によるサイバー経営リスク改善支援
マネジメント監査をパッケージ化したペネトレーションテストサービス誕生の背景
これまでのペネトレーションテストは、エンジニアであるホワイトハッカーが単独で行ってきました。また、会社組織としてのセキュリティマネジメントは、マネジメント監査人単独で行ってきました。
ホワイトハッカーは直接的なシステム上のリスクを理解します。マネジメント監査人は会社組織としてのリスクを理解します。現実の会社組織としてのセキュリティは、技術・体制・人・業務プロセスといった、経営プロセス全体を考慮したリスクマネージメントでなければいけません。
長年ペネトレーションテスト専門業としての経験上、このマネジメント監査人とホワイトハッカーの接点がないためにセキュリティ施策が的確でない、リソースの割り振りに無駄が大きいという現実に多々直面してきました。
このサービスは、双方の立場のセキュリティ専門家が利益追求組織としての会社に経営者視点を踏まえた現実的なリスクマネージメントを行いたいという思いで開発いたしました。
ホワイトハッカーは直接的なシステム上のリスクを理解します。マネジメント監査人は会社組織としてのリスクを理解します。現実の会社組織としてのセキュリティは、技術・体制・人・業務プロセスといった、経営プロセス全体を考慮したリスクマネージメントでなければいけません。
長年ペネトレーションテスト専門業としての経験上、このマネジメント監査人とホワイトハッカーの接点がないためにセキュリティ施策が的確でない、リソースの割り振りに無駄が大きいという現実に多々直面してきました。
このサービスは、双方の立場のセキュリティ専門家が利益追求組織としての会社に経営者視点を踏まえた現実的なリスクマネージメントを行いたいという思いで開発いたしました。
マネジメント監査を取り入れたプロジェクトの概要
フェーズ1
このフェーズでは、網羅型の調査手法で会社固有の現状を知ることを目的とします。ホワイトハッカーは対象ネットワークのスキャンや網羅型の脆弱性診断を行い、ITシステムの現状把握をします。監査人はドキュメントや体制、業務プロセス等の確認をします。プロジェクト用にカスタマイズした網羅型のマネジメント監査を行い会社組織の現状把握を行います。
フェーズ2
このフェーズでは、実際に攻撃を行い現実的な攻撃耐性を深く知ることを目的とします。フェーズ1で得た情報をもとに、攻撃者としての知見で脅威モデリングを行い攻撃シナリオを作成します。そのシナリオに沿って、実際に攻撃者としてふるまいその過程で得た知見を元にどこでその攻撃の成立難易度を上げることができるか、ビジネスにどれだけの影響があるかを、ITシステム面・会社組織面双方から対策を検討します。
フェーズ3
このフェーズでは、実際に対策を実行し改善することを目的とします。監査人とホワイトハッカー双方が、より経営者に近い視点で体制面・システム面を含め、総合的な対策実施支援を行います。最後に最終テストを行い改善されているかの再点検、プロジェクトの効果分析を行い次のテスト要件を検討します。
※脅威ベースのペネトレーションテストとは
網羅型の脆弱性診断と違い、例えば「社内の悪意のあるユーザーが情報持ち出しを企てたら」「取引先の社員が不正を働いたら」など、具体的なシナリオに沿って攻撃者としてビジネス上のリスクをテストする手法です。前提として脆弱性診断を行い、さらにビジネスプロセスを網羅的に把握した上で、その会社固有のリスクに対して疑似攻撃を実行します。効果としてはコスト・時間・労働力といった具体的なリソースの振り分けが分かる、弱点を補強するためにどのようなセキュリティ商品を導入するべきか的確な判断ができる、導入済みのセキュリティ商品の効果が分かる、などとなります。
「脅威ベースのペネトレーションテスト」サービス概要
価格:300万円~
販売方法:WEBサイトからの問い合わせ
販売店:株式会社セキュリティイニシアティブ
販売方法:WEBサイトからの問い合わせ
販売店:株式会社セキュリティイニシアティブ
株式会社セキュリティイニシアティブについて
会社名:株式会社セキュリティイニシアティブ
本社所在地:宮城県仙台市青葉区上杉1-6-10 仙台北辰ビル 1F
東京営業所:東京都文京区湯島3-34-6
代表者:小笠貴晴
設立:2015/5
URL:https://security-initiative.co.jp/
事業対象エリア:全国
本社所在地:宮城県仙台市青葉区上杉1-6-10 仙台北辰ビル 1F
東京営業所:東京都文京区湯島3-34-6
代表者:小笠貴晴
設立:2015/5
URL:https://security-initiative.co.jp/
事業対象エリア:全国
事業内容
サイバーセキュリティコンサルティング
ペネトレーションテスト
脆弱性診断
インシデントレスポンス・デジタルフォレンジック
ペネトレーションテスト
脆弱性診断
インシデントレスポンス・デジタルフォレンジック
お客様からのお問い合わせ先
株式会社セキュリティイニシアティブ
e-mail:info@security-initiative.co.jp
e-mail:info@security-initiative.co.jp
本リリースに関する報道お問い合わせ先
株式会社セキュリティイニシアティブ 担当:小笠貴晴
e-mail:info@security-initiative.co.jp
e-mail:info@security-initiative.co.jp
- カテゴリ:
- サービス
- ジャンル:
- その他IT・インターネット ビジネス全般
取材依頼・商品に対するお問い合わせに関しては
プレスリリース内にございます企業・団体に直接ご連絡ください。
記事掲載数No.1!「@Press(アットプレス)」は2001年に開設されたプレスリリース配信サービスです。専任スタッフのサポート&充実したSNS拡散機能により、効果的な情報発信をサポートします。(運営:ソーシャルワイヤー株式会社)