アドバイザリー

アタック&ペネトレーション
(セキュリティ診断/レッドチーム診断)

侵入テストによるビジネスリスクの特定
世界中からのサイバー攻撃が想定されるなか、日本企業はグローバル全体と比較して、十分な侵入対策が実施されていないことが分かっています。

<脆弱性を特定するための体制が整備されていない企業の割合>

レッドチーム診断実施の流れ

サイバー空間の攻撃者による侵入手口がますます高度化していく中、貴社の侵入対策は万全でしょうか?

デジタル時代のサイバー攻撃に対応するには

デジタル技術の普及・進化によって各種取引の迅速性・簡便性・効率性が増している一方で、企業はかつてないほどの大規模なサイバー脅威にさらされています。

グローバルに猛威を振るう精巧なAPT(Advanced Persistent Threat)によるサイバー攻撃は、国境を超えた現実的な脅威となっており、全世界から収集された最新のインテリジェンスを活用したプロアクティブな対応が必要です。

EYはリスク管理の専門家集団として、米国・イスラエルをはじめとする先端技術スキルを備えた人材をクロスボーダーに活用し、Webアプリケーション、IoT端末、インフラストラクチャーに潜在する脆弱性を診断します。また、レッドチームと称するEYの専門集団が実際の攻撃者と同じ手法を用いて、脆弱性や攻撃手法についての対応をアドバイスします。

サービスの特長

過去10年間で、金融、ライフサイエンス、公共、テクノロジー、メディア&エンタテインメント等の世界の主要産業において、大規模アプリケーションおよびネットワークセキュリティの診断に豊富なサービス実績を持つ、EY Globalのアドバンスド・セキュリティ・センター(Advanced Security Center : ASC)と共に世界屈指の技術力とリサーチ力でサイバー脅威およびリスクを特定します。

一般的な診断ツールのほか、独自開発の自動ツールおよび手動診断技術を用いてサービスを提供します。

サービスの特長

サービスの提供

貴社のニーズに合わせた診断サービスがご提供可能です。

クライアントのニーズに合わせたサービスの提供

セキュリティ診断

インフラストラクチャー、Webアプリケーション毎に詳細なセキュリティ診断を行うことで、脆弱性を網羅的に検出します。ソーシャルエンジニアリング診断では、疑似的なフィッシングメールを送付し、メール開封およびリンクのクリック状況等を収集・分析します。

診断名 診断対象 診断内容
内部/外部インフラストラクチャー診断 サーバ・ネットワーク機器 ツールによる脆弱性スキャンに加え、過去実績に基づいたナレッジを利用し、スキャン・ツールだけでは検出できない脆弱性を手動で検出します。また、検出された脆弱性が実際にサイバー攻撃で利用できるかを検証します。
アプリケーション診断 Webアプリケーション、
モバイルアプリケーション
ソースコード診断 アプリケーション ツールおよび手動でのソースコードレビューにより、コーディングプラクティスに基づく調査を行い、貴社アプリケーションの潜在的な脆弱性を検出します。
ソーシャルエンジニアリング診断 従業員・職員 実際にハッカーが情報収集するのと同じ手法を用いてターゲットに効果的なフィッシングメールを作成します。また、メールの開封状況やリンクのクリック状況等を収集・分析し、報告します。

レッドチーム診断

インフラストラクチャー、Webアプリケーション、ソーシャルエンジニアリング等の複数のベクトルから疑似的なサイバー攻撃を実施することで、企業における潜在的な攻撃経路を洗い出します。

また、ビジネス部門・IT部門における一部の担当者を除いて、関係者への事前通知を行わないことで、実際にサイバー攻撃を受けた際にCSIRT組織が攻撃を検知することができるか、組織が検知後に適切に対応することができるか、等を評価します。

レッドチーム診断の効果
  • 実際の攻撃者の攻撃経路の再現
  • 企業全体のインシデント検知力の評価
  • 企業に有効な攻撃手法の特定
  • ビジネスインパクトの明確化

レッドチーム診断実施の流れ

レッドチーム診断実施の流れ
EY- Download アタック&ペネトレーションサービスのご案内

アタック&ペネトレーションサービスのご案内

Download