ペネトレーションテストの導入事例

サイバー攻撃の手口が日々巧妙化する中、システムの脆弱性を事前に洗い出す手段として注目されているのが「ペネトレーションテスト」です。ツールによる機械的な診断とは異なり、攻撃者の視点から擬似的な侵入を試みることで、実際のリスクをより現実的に把握できる点が特徴です。

とはいえ、どのような場面で、どのような目的で導入されているのか。導入によってどんな成果が得られるのか。そうした具体的なイメージが持ちにくい方も多いのではないでしょうか。

本ページでは、ペネトレーションテストの導入事例をもとに、活用シーンや得られた知見を紹介しています。

サイバーディフェンス研究所のペネトレーションテスト事例

月1回のペネトレーションテストを実施し
セキュリティを維持

クックパッドは月間利用者数6,000万人超の日本最大のレシピサイト。プライバシー保護のため、毎月ペネトレーションテストを実施し、高いセキュリティを維持しています。

ツールによる画一的な診断とは異なり、エンジニアによる擬似攻撃で新機能や新サービスの脆弱性を発見。得られた情報を基にセキュリティマネジメントのPDCAサイクルを運用し、知識を社内で共有しています。

さらに、オフィス内インフラのセキュリティも強化。サイバーディフェンス研究所と協力し、月1回のペネトレーションテストだけでなく内部ネットワーク診断を実施。グローバル展開やワークスタイルの変革に伴い、セキュリティの範囲をオフィス外まで拡大しています。これにより、安心して利用できる環境を提供し続けることを目指しています。

参照元：サイバーディフェンス研究所公式HP（https://www.cyberdefense.jp/case_studies/cookpad.html）

株式会社サイバーディフェンス研究所について
詳しく見る

GMOサイバーセキュリティbyイエラエのペネトレーションテスト事例

セキュリティの強化を実現

お客様の大切な資産を預かっている金融機関として、毎年変化するサイバーリスクに備えるべく、毎年ペネトレーションテストを実施しています。

模擬攻撃を行う診断員の技術力の高さや、事前に設定する攻撃シナリオの有効性、難易度の高いセキュリティ資格を保有している診断員が在籍していることなどを踏まえて、GMOサイバーセキュリティbyイエラエのペネトレーションテストは、信頼の置けるベンダーとして今回利用させてもらいました。

当初想定していなかった指摘もいただけたので、良い成果がでて良かったです。

GMOサイバーセキュリティ
byイエラエ株式会社について詳しく見る

日立ソリューションズのペネトレーションテスト事例

セキュリティ課題と対策実効性の確認

物流センターのセキュリティ課題の洗い出しと対策の実効性を確認するため、「サイバー/制御系現状分析サービス」と「ぺネトレーションテスト」を実施しました。

テストによるリスク分析から、システムの可用性とサイバーリスク対策への優先度を把握。また、システム内の脆弱性の有無を特定し、必要なセキュリティ要件を整理。さらに、自社外の企業による客観的な評価として、 自社の顧客に対してセキュリティ対策への安全性をアピールする材料として活用されています。

株式会社日立ソリューションズについて
詳しく見る

サイバートラストのペネトレーションテスト事例

外部ネットワークとの接続リスクを検証

従来のビル管理システムは外部から遮断したネットワークで構成されていたが、IoT設備の導入で外部ネットワークと接続する必要がでてきました。そこで、外部・ 内部ネットワークがつながることで起こりうるリスク検証として、ペネトレーションテストを実施。

結果、緊急性の高い脆弱性があることがわかり、対応策としてさまざまな攻撃を想定したBA向けセキュリティソリューションの開発がおこなわれることになりました。

サイバートラスト株式会社について詳しく見る

EGセキュアソリューションズの
ペネトレーションテスト事例

システムだけでなく
「人の弱さ」もカバー

顧客からも「標的型攻撃に対する対応をしているか」という問い合わせも入ることから、脆弱性診断に加えて、「人の弱さ」をカバーするためにペネトレーションテストも依頼しました。今回のテストを受け、「ルールの徹底」が十分にいないなどといった改善点が見つかったため、依頼してよかったと思っています。

EGセキュアソリューションズ株式会社について
詳しく見る

FlattSecurityの
ペネトレーションテスト事例

コミュニケーションが
取りやすい点に信頼を感じた

今の組織や事業に必要なセキュリティ対策が行えているかをチェックしたいという思いからペネトレーションテストを依頼しました。実際に診断をする診断員の方とのコミュニケーションも取りやすく、診断レポートが明瞭なところが非常に良かったです。検出結果も逐一報告してもらえたので、細かな部分でコミュニケーションをしっかりと取ってくれる点に信頼感を感じました。

株式会社FlattSecurityについて詳しく見る

アクセリアの
ペネトレーションテスト事例

攻撃者の視点を理解したテストで
課題を見つけられた

今までは標的型攻撃訓練を行ったうえで注意を促す程度でしたが、実際に内部に侵入されてしまった場合はどうなってしまうのかを実際に体験することができました。全社サーバー・ネットワークに対して調査したことから、擬似的とはいえ実際に攻撃者に侵入される感覚を身をもって体験することができたので、課題も見つけられて今後に活かしていけそうです。

今後も中央競馬を支えるデジタル先端企業として継続的にペネトレーションテストを実施していき、全社でセキュリティに対する意識を高めていきたいです。

アクセリア株式会社について詳しく見る

Ninjastarsの
ペネトレーションテスト事例

ご要望に沿った診断で脆弱性を発見

お客様に用意してもらった診断環境で、機密ファイルを想定したダミーファイルの取得が可能かどうかという視点でペネトレーションテストを実施しました。

ソースコードを参照した状態で診断するホワイトボックステストで、ソースコードを参照できることからより高精度に脆弱性を発見することができました。

診断の報告では、具体的な攻撃手法や脆弱性に対する対策方法まで詳細に報告したため、クライアント企業には大変満足していただける結果となりました。

株式会社Ninjastarsについて詳しく見る

• ペネトレーションテスト対策ガイド│Penetration Lab
• Azureのペネトレーションテストは行う必要はある？
• Google Cloudでペネトレーションテストは行う必要はある？
• ペネトレーションテストとDASTの違いは？
• AWSでペネトレーションテストは行う必要はある？
• ファジングとペネトレーションテストの違いは？
• ペネトレーションテストの種類
• ペネトレーションテストはどのように行われるのか
• ペネトレーションテストのメリット・デメリット
• ペネトレーションテストと脆弱性診断の違い
• ペネトレーションテストの費用相場