ITDIRECT Pentest
- AIを活用した新しいサイバーセキュリティリスク検証ソリューション
ペネトレーションテスト(不正侵⼊/サイバー攻撃etc)を自動実行 -
  • ペネトレーションテスト
  • 脆弱性診断/検証
  • AI駆動
  • 自動テスト
2024.03.06セキュリティ関連記事 引用NEW
政府は1日、地方自治体にセキュリティ方針の策定と公表を義務付ける地方自治法改正案を決定した ー
日本経済新聞

ITDIRECT PenTestについて

サイバーセキュリティ対策の最も効果的なアプローチは、攻撃者・ハッカーの立場で考えることです。
『ITDIRECT PenTest』は、脆弱性を網羅的に点検(今までの脆弱性診断テスト)することに加え、RidgeSecurity社のRidgeBot®(AI駆動/自動ペネトレーションテスト)を使用して、検出される多数の脆弱性について攻撃をシュミレーションします。
そして、実際に侵入・侵害を許すリスクの高い脆弱性を洗い出すことで、対策の優先順位を明らかにします。
AIロボットを活用したハッカー視点のペネトレーションテストによって、限られた時間/コストで貴社の重要な情報資産が晒されている脅威を明らかにします。
RidgeBot®は、世界的に有名なテクノロジーコンサルティングおよび調査企業であるGartnerにおいても、Penetration Testing Tools Reviews(2024)におけるレビュープラットフォームにおいても高い評価を得ています。
gartner | Review
レビュープラットフォーム『Gartner』

今までの脆弱性診断テストの課題

多数の脆弱性を示されても、実際にどの程度のリスクに晒されているのか、ユーザが判断不能なケースが多い

脆弱性診断テストで多数の脆弱性を示されて、不安を抱く方も多いと思いますが、実際のところ、示された脆弱性が、どの程度のリスクに晒されているのか、緊急度はどうなのか、判断不能なケースが多いのが実情です。例えば、ここでいうリスクは、重要な情報資産に対して、脆弱性をついて実際に侵害可能な脅威とすると、脆弱性の全てが侵入可能な脅威ということではありません。

複雑化と技術者の不足等の理由により、リスク低減に向けたサイバーセキュリティ対策の優先順位を判断できない

脆弱性対策をするために多額のセキュリティ対策の投資をしても、実際にどれだけのリスクが軽減されるのかわからず、投資効果およびリスク低減に向けた優先順位の判断ができないケースが多いのが実情です。実際に外部から社内ネットワーク等に侵入されるような脆弱性なのか、調査するだけでも多くの費用、時間、工数が必要となっています。

年1回程度の定期テストをベンダーに依頼するなど、実効性が低く、形式的な対応になりがち

年に一度程度の決まり事として、定期的な脆弱性診断テストを行う企業が多いですが、昨今のサイバーセキュリティ環境において、年に一度のテストで、十分な対策ができていると考えるセキュリティ責任者は少ないのではないでしょうか。特にサイバーセキュリティが複雑化する一方で、技術者が不足している現在において、人手による対応は非現実的です。実効的なサイバーセキュリティ対策には、AI・自動化が必要になってきています。

自動攻撃シュミレーションによるペネトレーションテストを採用するメリット

ペネトレーションのメリット
今までの脆弱性診断の探索方式に加えて、AIエンジンと専門知識データベースによるハッカー視点からの攻撃シュミレーションによるペネトレーションテストがリスクの"見える化"を実現します。そして、CISOのサイバーセキュリティリスクの把握と認識、サイバーセキュリティ対策の優先順位を明らかにすることをサポートします。
自動化、AI化によって、ペイロード生成などの技術者不足の問題を回避するとともに、1年に1度などの脆弱性診断テストの実施など、形式的な従来のサイバーセキュリティ対策から、実行頻度を上げた実質的かつ継続的なサイバーセキュリティ対策をユーザー自身でも実現できるようになります。

サービスイメージ

多くの組織・企業様にご利用いただけるようテスト実施後のレポーティング、コンサルティング、各種ソリューションの提案まで含んだサポートサービスとしてもご提供できます。また、ご要望がありましたら、貴社がご自身で継続的なテストを 実施する態勢の整備もサポートします。
ITDIRECT PenTest サービスイメージ

ペネトレーションテストの範囲

以下のメニューを用意しております。

Website Penetration
*ドメイン指定

WebサイトおよびWebアプリケーションへのテスト
OwaspZAP,BurpSuite,RidgeBot

Host Penetration
*IP指定

主に社内ネットワークに向けた侵入テスト

RidgeBot

Intranet Penetration

主に社内環境における侵入テストで、多層防御検証型の内部ペネトレーションテスト
ツールはオンプレミスに環境を構築または外部からVPN接続してテストします

Exploit & Ransamware Penetration

エクスプロイトおよびランサムウェアなどのマルウェアに特化した侵入テスト
感染をシュミレーションするため、PCにexeファイルのインストールが必要です

検証される攻撃

ネットワーク攻撃

ネットワークに接続された対象のマシンを探索し、積極的にセキュリティの不備を発見して利用し、アクセスできるようにします。

攻撃範囲

ホストサーバ(Windows、Linux、Unix、MacOSなど)、ウェブサーバ、アプリケーションサーバ、データベースサーバ(Oracle、IBM DB2、MS SQLサーバ、MySQL、PostgreSQLなど)、仮想化プラットフォーム、ネットワーク機器、IoTデバイス、ビッグデータ

ローカル攻撃/特権昇格

対象マシンで低い権限のアクセスを入手した後、ローカルでほかの脆弱性を悪用して昇格した特権を入手します。

ユーザ介入モードの攻撃

経験を積んだ侵入テスト実行者が、影響の大きい侵入テストのプラグインの攻撃を制御できるようにし、リスク管理と攻撃の可視性を高めます。

踏み台攻撃

侵入された資産を管理し、それを足掛かりに、隣接するネットワークのほかの標的マシンに侵入します。

アプリケーションセキュリティテスト

動的なアプリケーションセキュリティテスト(DAST)をサポート。組み込まれているウェブログインシーケンスレコーダーとプロキシモードで、認証済みウェブ侵入テストをサポートします。

総当たり攻撃による脆弱なパスワード探し

資格情報のエクスプロイトを使ったOS、アプリケーション、データベースの弱点と、それに特化したセキュリティ検証法です。

自動SQLインジェクションテスト

SQLインジェクションの不備とデータベースサーバ過多を利用して、検出プロセスを自動化

カスタマイズ可能な侵入テストのプラグイン

ユーザがカスタマイズできるアプリケーションの痕跡、攻撃ベクトル、脆弱性検出ペイロード、脆弱性悪用ペイロード(スクリプトとルール)、対応策のためのアドバイス

プラン/料金

料金は、テストの規模(攻撃対象のDomainやIPアドレスの数)に合わせて変動します。
年間契約は、期間中は何度でもペネトレーションテストを実行いただけます。
スワイプ
プラン 料金 レポート 改善提案 契約期間
ITDIRECT PenTest
Epic
¥3,000,000~
お問い合わせください

* 独自またはOWASP10
年間
ITDIRECT PenTest
Plus
¥1,000,000~
お問い合わせください

* 独自またはOWASP10
都度
ITDIRECT Pentest
Mini
¥2,000,000~
お問い合わせください お問い合わせください

* 独自またはOWASP10
× 年間
ITDIRECT Pentest
Nano
¥750,000~
お問い合わせください

* 独自またはOWASP10
× 都度



* オプション
サイバーセキュリティ対策
コンサルティング
お打合せの上、ご提案 サイバーセキュリティの技術的対策、認証方式の高度化、その他
アプリケーション脆弱性対策
コンサルティング
お打合せの上、ご提案 アプリケーション開発上でのセキュアコーディング等

RidgeBot®について

RidgeBot®は、実際のPOCコードを使用して脆弱性を悪用し、脆弱性を検証。そのため、検証したリスクはその脆弱性が特定のネットワークおよびサーバー構成でハッカーによって悪用される可能性があることを意味します。
SOCエンジニアは、リスクの大きさと対策の優先度を把握することができます。
スワイプ
RidgeBot® 複数の競合他社 (従来のプロセス)
検証済みのリスク * 完全に自動化された侵入テストにより、検証済みのリスクを検出してフラグを立て、SOCチームによる修復が可能になります。
このテストには高度なスキルを持つ人材は必要ありません。
さまざまなツールを利用した手動プロセスで、テスト対象となる可能性のあるターゲットを特定します。経験豊富なテスターが必要であり、非常に長い時間がかかります。
継続的なテスト RidgeBot®は疲れを知らないソフトウェアロボットで、提供される履歴傾向レポートを使用してセキュリティ検証タスクを毎月、毎週、または毎日実行できます。お客様に継続的な安心を提供します。 四半期または年に1回以上繰り返すには多くの時間、コストが必要です。
セキュリティ体制の評価 Mitre Att&ckフレームワークに従ったエミュレーションテストを実行して、セキュリティポリシーの有効性を評価します。 ブルーチームは、セキュリティデバイスが正しく構成されていることを確認するために最善の努力を払っていますが、検証テストは行っていません。
脆弱性管理 根拠とともに、組織内で悪用されている脆弱性を危険度ごとに正確にリストします。誤検知はありません。 検証を行わずに考えられるすべての脆弱性を提示すると、誤検知率が高くなります。(火急の脆弱性を見つけることが困難)

受賞歴

RidgeBot®を提供するRedge Security社は「自動ペンテスト&レッドチームツール」および「侵入&攻撃シュミレーション」カテゴリでガートナーの参照ベンダリーダーに位置しています。
gartner | Review
Gartner 参照ベンダリーダー『Redge Security』
RidgeBot® Awards
RidgeBot®の詳細情報

RidgeBot®詳細

RidgeBot®は、IT環境にネットワーク接続すると、そのネットワークにあるあらゆる種類の資産を自動的に発見し、脆弱性に関するナレッジデータベースを利用して、脆弱性スキャンし、侵入攻撃をシュミレーション(模擬攻撃)し、検証結果をレポートし、対策をご提案します(実際に重要な情報資産を侵害しないよう、攻撃を自動制御します)。
高度なクローリング技術をもちいて、広範な種類のIT資産を検知します。IPアドレス、ドメイン、ホスト、オペレーティングシステム、アプリケーション、ウェブサイト、データベース、およびネットワーク/OTデバイスなどが対象になります。
専用のスキャンツールと、脆弱性やセキュリティ違反イベントに関する豊富なナレッジベース、さまざまなリスクモデルを利用して、脆弱性を検知します。
マルチエンジン技術を使い、現実世界の攻撃をシミュレートします。侵入が確認された場合は、踏み台攻撃などに関するデータをさらに収集します。
RidgeBot®のACE(Adversary Cyber Emulation:模擬サイバー攻撃)は、その評価テストスクリプトをMITRE ATT&CKの戦術と技術にマッピングします。これにより、潜在的な攻撃ベクトルの可視性が向上します。
RidgeBot®には人工知能と専門的なナレッジベースを備えた強力な「ブレイン」があり、それに従って攻撃パスの発見や選定を行なうことができます。パスに沿った学習に基づいて繰り返し攻撃を行ない、それによってさらに包括的な範囲のテストとさらに深い調査を実現します。
洗い出された脆弱性に対して、実際に脅威をシミュレーションする侵入テストを試みます。侵入シュミレーションでは、特権昇格や踏み台攻撃も行います。 (脅威インテリジェンス 28,攻撃イベント 100M,脆弱性 108K,サードパーティの脆弱性 12K,POCエクスプロイト 6000,指紋ルール 3500,特権昇格の脆弱性 1000,ランサムウェア攻撃技術,DNSデータベース,グローバルURLデータベース")

RidgeBot®の特長

自動侵入テスト
資産プロファイリング
脆弱性マイニング
自動悪用
エクスプロイト後
横方向の動き
侵入テストのリスク管理
リスクベースの脆弱性管理
攻撃キルチェーンの視覚化とエクスプロイトの証拠
ヘルススコア、リスクと脆弱性の優先順位付け
リスクと脆弱性の詳細と緩和策の提案
サードパーティVAスキャナの統合
OWASP トップ 10 レポート
VM の履歴/傾向分析
セキュリティ管理の検証
機密データの引き出し
エンドポイントセキュリティ
Windows AD ポリシー制御
連続測定
Mitre Att&ck フレームワーク調整
資産管理
ホストとサービス/アプリケーション
ウェブサイトとドメイン
ボトルレットの設置とステータス
攻撃対象領域の特定

360°のエンタープライズセキュリティ検証ツール『RidgeBot®

侵入テストとサイバー攻撃(模擬)の両方、全方向のセキュリティ検証を実現 -
次世代のペネトレーションテストツールです。

侵入テスト

内部からの攻撃

内部からの攻撃イメージ

外部からの攻撃

外部からの攻撃イメージ

侵入後の横展開

侵入後の横展開イメージ
内部からの攻撃イメージの詳細
『内部からの攻撃』の検知例
内部ネットワークの奥深くにあるビジネスリスクを発見して検証し、横方向の移動経路を明らかにします。
増え続ける APT 攻撃やランサムウェア攻撃に、より効果的に対抗します。 環境のニーズを満たすために、悪用後の構成の深さと範囲を制御します。
攻撃の横展開イメージ
侵入テストの詳細情報

6つの機能

スワイプ
1. スマートフィンガープリンティングとスマートWebクローリング
指定された IT インフラストラクチャを自動的にクロールまたはスキャンして、幅広い種類の資産とそれらの資産の攻撃対象領域を特定して文書化します。
  • 5600以上のOSフィンガープリント/11000以上のサービスフィンガープリント
  • サポートされる資産タイプ: IP、ドメイン、ホスト、OS、アプリ、Web サイト、プラグイン、ネットワーク、IoT デバイス
この段階には次のテクノロジーが含まれますが、これらに限定されません。
  • クロール、URL ブルート フォース、ドメイン名解決、サブドメイン ブルート フォース、関連ドメイン抽出、隣接サイト検査、Web フィンガープリント、ホスト フィンガープリント、システム フィンガープリント、アクティブ ホスト検査、電子メール抽出、ログイン エントリの検出
すべての主要な Web フレームワークをサポート
  • ワードプレス
  • PHP/SQL
  • VUE/反応
  • JavaScript
2. RidgeBrainエキスパートモデルと脆弱性マイニング
アセット プロファイリングの結果を活用することで、RidgeBot® は、脆弱性ナレッジ ベースに照らしてアセットと攻撃面を調査し、悪用される可能性のあるすべての脆弱性を検出します。
  • ウェブアプリケーション
  • ホスト/データベースサーバー
  • 弱い認証情報
  • サードパーティフレームワークの脆弱性
脆弱性マイニング プロセスでは次の手法が使用されます。
  • 弱点の発見: エキスパートモデルやRidgeBot® Brainなどのインテリジェントな意思決定システムに基づいて、攻撃対象領域上の潜在的な弱点を特定し、脆弱性をチェックします。
  • 脆弱性スキャン: 自動ツールによって生成されたパケットと、攻撃コンポーネントやベクトル エンジンなどによって提供されるペイロードを使用して、ターゲット システムにアクセスしてテストし、返された結果をチェックして、悪用できる脆弱性があるかどうかを判断します。
3. 攻撃手段
広範な知識ベースがあり、顧客はテストの目標とターゲットに基づいてエクスプロイトを選択できます。または、フルスキャンを使用して自動悪用を実行させることを選択します。
  • 20億以上の脅威インテリジェンス
  • 150,000 以上のエクスプロイトデータベース
  • 6000 以上の組み込みPOCエクスプロイト
脆弱性の悪用プロセス
  • 内部攻撃: ローカル ネットワークやシステムで発見された脆弱性の悪用に重点を置き、顧客の許可を得て企業ネットワークの内部から攻撃を開始します。
  • 外部攻撃: 企業ネットワークの外部から、組織の Web サイト、ファイル共有、パブリック クラウド/CDN でホストされているサービスなどの公的にアクセス可能な資産に向けて攻撃を開始します。
  • 横方向の移動: ターゲットホストへのアクセス許可を取得した後、そのホストをピボットとして使用して脆弱性をさらに悪用し、システムの他の部分へのアクセスを取得します。
4. リアルタイム攻撃の可視化
自動トポロジ描画
  • アセットと攻撃対象領域の関係を示します
  • 脆弱性とリスクを計画する
攻撃経路の完全な可視化
  • 攻撃元を追跡し、攻撃の詳細を表示します
ダッシュボードにリアルタイムのアクションを表示する
  • 発見
  • スキャン
  • 悪用
5. リスクベースの評価
ヘルススコア: リスク評価に基づいて脆弱性をランク付けし、修復します。
  • 最も有害な脆弱性の詳細かつ具体的なランキング
  • キルチェーンを視覚化
  • 加重評価に基づく総合的な健康スコア
キル チェーンの視覚化:リスクは「完全なキル チェーンが達成されたエクスプロイト」として定義されます。
  • 悪用可能な各脆弱性に対して開始された悪用の試みは、キルチェーン全体で達成されたもののみが最終レポートに文書化されます。
  • 最終報告書で示された4つのリスク
6. 大規模インフラストラクチャ向けの分散アーキテクチャ
推奨事項: 500のターゲットシステムごと(またはサブネットごと)に1つのRidgeBot®スレーブノード

テストシナリオテンプレート

完全な浸透
このテストでは、ハッカーが使用するさまざまなネットワーク攻撃手法を利用します。脅威インテリジェンス、エクスプロイト知識ベースに基づいて、資産のプロファイリングを行い、脆弱性を掘り起こし、ターゲット資産に向けて攻撃を開始します。攻撃対象: イントラネット、エクストラネット、プライベート ネットワークなどのあらゆる資産
ランサムウェア
このテストには、ランサムウェア攻撃でよく見られる数十の一般的に使用される手法がパッケージ化されています。これは、お客様の環境がランサムウェア攻撃に対して脆弱かどうかを迅速に検証するのに役立ちます。また、テストによって提案された修復計画により、顧客はランサムウェア攻撃から身を守ることができます。
ウェブサイトの浸透度
このテストでは、ターゲット Web サイト、Web アプリケーション、および関連するすべての攻撃対象領域に対してサイバー攻撃を開始し、ターゲット Web サイトの制御を取得します。攻撃対象には、自社開発または CMS ベースの Web サイトが含まれます。
内部ホストへの侵入
このテストでは、企業ネットワークの内部から攻撃を開始し、内部の脅威に対するセキュリティ システムの応答を検証します。特権昇格、水平移動、ドメイン侵入などの高度な技術が使用されます。攻撃のターゲットには、ネットワークでアクセス可能なすべての内部ホストが含まれます。
弱い認証情報の悪用
弱い認証情報や不正アクセスの脆弱性を介して収集された機密情報に基づいて、直接的または反復的な攻撃を開始します。攻撃対象には、redis、elasticsearch、ActiveMQ、データベース、Web ログイン、その他のアプリケーションが含まれます。
サードパーティのフレームワーク
サードパーティのフレームワークへの侵入ターゲットで検出された既知の 1 日または n 日の脆弱性に基づいて、特権昇格と反復攻撃を開始します。攻撃対象には、Struts2、spring、fastjson、ThinkPHP およびその他のフレームワークが含まれます。サードパーティ フレームワークへの侵入ターゲットで検出された既知の 1 日または n 日の脆弱性に基づいて、権限昇格と反復攻撃を開始します。攻撃対象には、Struts2、spring、fastjson、ThinkPHP などのフレームワークが含まれます。
資産プロファイリング
このテストでは、資産のプロファイリングを行い、ドメイン名/サブドメイン名、周辺機器、暗号化キー、API、フレームワーク、オープンポートなどに基づいてすべての攻撃対象領域を掘り出します。

サイバー攻撃(模擬)

セキュリティ管理の検証
セキュリティ管理の検証
連続測定
連続測定
Mitre Att&ckフレームワーク
Mitre Att&ckフレームワーク

攻撃シミュレーションのシナリオ

エンドポイントセキュリティ
エンドポイントセキュリティ
悪意のあるソフトウェアの動作をシミュレートするか、マルウェアのシグネチャをダウンロードして、ターゲット エンドポイントのセキュリティ制御を検証します。
データの引き出し
データの引き出し
個人データ、財務データ、機密データ、ソフトウェア ソース コードなど、サーバーからのデータの不正な移動をシミュレートします。
Active Directory 情報調査
Active Directory 情報調査
攻撃者が Windows Active Directory 内の有用なリソースを収集して、特権の昇格、永続化、および情報の略奪をシミュレートします。
サイバー攻撃(模擬)の詳細情報

エンドポイントセキュリティのシナリオ

評価対象:ボ​​トル
  • Botlet は、顧客の IT 環境に実際の害や影響を与えることなく、現実世界のサイバー攻撃をシミュレートできるソフトウェア エージェントです。
評価テストスクリプト
  • 特定のサイバー攻撃をシミュレートしたり、セキュリティ制御を検証したりするために、ボットレットによって実行される一連のスクリプト化された動作。
主要な測定: ブロック率
  • RidgeBot ® ACE テスト中に実行されたすべての評価スクリプトに対するブロックされたスクリプトの比率
  • ブロック レートが高いテスト結果は、セキュリティ制御が優れていることを示します。

データ漏洩のシナリオ

フローチャート
ユーザーは5種類の機密データをアップロードして、それらのファイルの流出がブロックされるかどうかをテストできます。
セキュリティ管理の有効性を検証。
  • 全体的なブロック率の傾向
  • ターゲットごとのブロック率
  • 脅威グループごとの結果の概要
  • MITRE ATT&CK 戦術ごとの結果の概要
  • MITRE ATT&CK テクニックごとの結果の概要
ブロックされていない評価テストの説明と緩和策の提案を提供します。
ブロック率が高いリスク評価結果は、顧客のIT環境におけるセキュリティ制御が優れていることを示しています。

無料トライアルお申し込み・お問い合わせ

ITDIRECT PenTest(ペネトレーションテスト)について、ご不明点・ご興味等ございましたら気軽にお問い合わせください。
※サービスの性質上、無料トライアル含むすべての提供サービスにおいて一定の条件がございます。あらかじめご了承ください。

    お名前 *

    貴社名 *

    メールアドレス *

    電話番号

    お問い合わせ内容

    本文

    個人情報の取扱いについてご確認の上、ご同意いただける場合はチェックを入れてください。

    アイティーディレクト株式会社(以下 当社)は、お客様から頂く個人情報を保護することは、お客様との信頼の第一歩だと考えており、これら個人情報を適切に利用し、保護することが社会的責任であると考えています。下記に当社の個人情報保護方針を定め、当社全従業員一丸となり、情報の保護に努めていきます。

    1. 個人情報の定義
    当社では、お取引企業の担当者様や、弊社お問合せフォームなどで入力していただいた、お客様のお名前や住所など個人を特定できる情報は、個人情報として厳正な管理を行います。

    2. 適正な取得
    当社では、マーケティング・コンサルティングサービス等各種サービスのご案内のため個人情報をいただいております。

    (1)サービス問合せの個人情報収集
    <利用目的>
    弊社のサービス・事業等に対するお問合せの回答のため

    <利用範囲>
    お名前、連絡先(Eメールアドレス、電話番号)、法人の場合は法人名称を収集させていただきます。

    <第三者への提供の有無>
    お問い合わせ内容に応じて弊社関係会社へお客様の個人情報を提供し、関係会社からお客様に連絡をとらせていただく場合もございますのでご了承ください。ただしお客様より、個人情報の提供の停止をお申し出いただいた場合には、関連会社にお客様の個人情報を提供いたしません。

    3. 個人情報の利用
    当社で収集した個人情報は、事前に明示させていただいた利用範囲内で行います。また、利用目的を変更する場合は、当Webサイトを通じご連絡をさせていただきます。

    4. 個人情報の安全管理について
    当社が収集した個人情報は、個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えいなどに関して、予防措置を講じます。また、社外からのリスクだけではなく、内部からの漏洩に関しても、様々な対策を講じていきます。

    5. 法令遵守及び個人情報管理体制の継続的改善について
    保有する個人情報に関して適用される法令、規範を遵守するとともに、上記各項における取り組みを適宜見直し、改善していきます。また裁判所、警察、消費者センターまたはこれらに準じた権限を持った機関から合法的な要請がある場合は、これに応じて情報を開示いたします。

    6. 個人情報の管理体制
    当社は、下記のものを個人情報管理責任者に任命し、適切な個人情報の管理体制を整備いたします。
    個人情報管理責任者 代表取締役社長 佐藤 昌弘