公開日:|最終更新日時:
従来のセキュリティで一般的であった境界防御というモデルでは、より高度なサイバー攻撃に対抗しきれなくなったために、昨今の金融機関ではペネトレーションテスト、特に「TLPT」が普及しています。
日本にTLPTの概念が広まった背景には、2018年5月に金融庁が公表した「諸外国の『脅威ベースのペネトレーションテスト(TLPT)』に関する報告書」があります。本番システムにサイバー攻撃を仕掛けるという刺激的な内容のテストであったことから、当時のセキュリティ担当者を驚かせました。
しかし同年10月にTLPTは、国際的コンセンサスを得た、サイバーレジリエンス向上のための有効的手法であることが、G7の基礎的要素で示されました。また金融庁が公表した「『金融分野におけるサイバーセキュリティ強化に向けた取組方針』のアップデートについて」でもTLPTの有効性が評価されたことにより、大手金融機関はサイバーセキュリティの高度な評価手段として、TLPTの活用を促されることとなりました。
参照元:エムオーテックス公式サイト(https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20231016_15438/)
公的機関からの促進だけでなく、モバイル決済やオープンエコノミー市場の拡大や、世界的に大流行した感染症に伴うリモートアクセスの増加などにより金融業界ではサイバー攻撃に狙われやすくなり、TLPT活用のすそ野が広がっています。
この傾向は大手金融機関だけに留まらず、インターネット経由の金融サービスを主とするオンライン銀行や証券、カード会社、また資金移動業者などの間でも広がりつつあります。
高度化・多様化するサイバーリスクに対処するには、従来のやり方では難しく、リスクマネジメントもアップデートしていかなければなりません。多くの金融機関でのTLPTの活用が進むことにより、今後は中小地域の金融機関や暗号資産交換業者などを含め、さらに活用のすそ野も広がっていくことが予想されています。
ペネトレーションテストを行うと、金融機関のシステムやネットワークに関する弱点を発見できます。これは空理空論ではなく、ハッカーが使用するような手法で実施されるため、実際に起こり得る脅威への対策を講じられます。
金融業界には、クレジットカードにおけるセキュリティ基準である「PIC DSS」や「GLBA」など、非常に厳しいセキュリティ規制が設けられています。そこで、定期的なペネトレーションテストを行うことで、さまざまな法規制の遵守を示すことが可能です。
積極的にセキュリティ対策を行えば、クライアントの信頼を高められます。特に、近年頻発しているサイバー攻撃に遭わないためには、強固なセキュリティ対策が欠かせません。ペネトレーションテストを行うことにより、信頼される金融機関になるための対策を行いやすくなります。
ペネトレーションテストの
メリット・デメリット
について詳しく見る
ペネトレーションテストを実施するのに必要なデータを集めるために、ネットワーク環境構築の確認を行います。機密情報の保管状況やログからテスト範囲を決定したうえで、攻撃者目線に立った攻撃シナリオを作成するのが重要です。
攻撃シナリオが完成したら、実際にペネトレーションテストを行います。疑似攻撃によって発見された脆弱性のうち、外部からのシステム侵入をはじめとしたハイリスクなものを洗い出し、特にリスクの高いものから優先的に対処します。
テストの結果に基づいて脆弱性や不備の分析を行い、詳細内容や攻撃経路などをまとめます。
ペネトレーションテストは
どのように行われるのか
手法について詳しく見る
TLPT(脅威ベースのペネトレーションテスト)に対応しているベンダーを紹介します。
Red Teamサービスのメソッドによってセキュリティ対策における重要な3つの要素(人/プロセス/テクノロジー)視点からのリスクを評価。そのうえで選定されるTLPTは、さまざまな攻撃を想定し、金融システム全域のセキュリティを強化します。
セキュアワークスの
ペネトレーションテストについて
詳しく知りたい方はこちら
PwCコンサルのTLPTは、情報セキュリティの品質維持を目的としている非営利団体「CREST」の認定を受けています。業界・業種に特化した攻撃シナリオを作成し疑似攻撃を実施することで、企業の対処能力を高めます。
PwCコンサルの
ペネトレーションテストについて
詳しく知りたい方はこちら
実際に利用可能性の高い攻撃コードだけでなく、ツールには存在しないエクスプロイトコードを作成した、新たな攻撃を想定したテストを実施。世界各国のマルウェアに精通したチームによる、世界レベルの対策提案もしてもらえます。
三井物産セキュアディレクションの
ペネトレーションテストについて
詳しく知りたい方はこちら
ラックのペネトレーションテストでは、実際の被害規模の可能性を詳細に割り出すことが可能。サイバー攻撃に対するシステムや環境の耐性を評価するだけでなく、より具体的な対策を講じることができます。
ラックのペネトレーションテスト
について
詳しく知りたい方はこちら
激化する金融機関に対するサイバー攻撃に備えるためには、実際の侵入による疑似攻撃で自社のセキュリティ性を試す、ペネトレーションテスト(特にTLPT)が有効的です。最新のセキュリティ情報はこまめにチェックし、新しい脅威にも動じず速やかな対応ができるよう、対策を講じておきましょう。
本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
