サイバー攻撃対策を「攻撃者視点」で「継続的」に検証　Automated Security Validation（ASV）によるランサムウェア対策

　自己評価は金融庁も推奨しており、「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）」では、「モ グローバル市場で高く評価されるPenteraのASVソリューション 　検査終了後はGUI画面とレポートにより、セキュリティ製品の有効性、脆弱性および攻撃結果、対処方法までを確認できま ニタリング ・ 演習の高度化」と「サイバーセキュリティに関する自己評価の促進」について記しています。 す。PenteraのGUI画面では、まず、発見された脆弱性と攻撃の結果、攻撃のために収集された端末情報、解読されたユー サイバー攻撃対策を「攻撃者視点」で「継続的」に検証 　自己評価には、攻撃者になりきって攻撃を試みるペネトレーションテストが有効だとされていますが、評価が必要なタイミン 　グローバル市場においてASVソリューションのリーディングカンパニーであるのがPentera社です。実際の攻撃手法を使用し ザーパスワードについて、時間をかけず能動的に確認できます。また、発見したセキュリティホールへの改善の簡易化が可 グが多く手間がかかります。そのため、リスクレベル低減に必須のモニタリング（可視化）において重要な「継続的な評価」が ながらも“安全”に診断を行うツールを提供しています。Penteraの強みは多岐にわたりますが、特徴的なのは次の5つです。 能で、対応すべき箇所の優先度の把握や、Penteraの脅威データベースを利用して対応方法を確認することも可能です。 Automated Security Validation（ASV）による 困難です。 ● エージェントレス 　下図は、ペネトレーションテストによる自己評価が年1回の場合と、継続的に実施する場合の比較イメージです。 ゼロエージェントで何のクレデンシャルも持たずテストをします。攻撃者は通常、企業や団体のシステムへ侵入する際に ランサムウェア対策 　初めてのテスト後、結果を受けて修復することでリスクレベルは下がります。しかし、年1回では、ベンダーから公表される新 エージェントを利用しません。そのため、より攻撃者に近い診断ができるのです。また、稼働しているシステムへの変更が不 たな脆弱性、新しいITシステムの追加、新しいユーザーの追加などに伴ってリスクレベルが許容値を超えても気づけません。 要であるため、テストを始めるまでが短期間で、かつ工数が少ないというメリットがあります。 気づけるタイミングは、もっとも遅い場合で364日後になるのです。リスクは時間の経過とともに累積していき、またいつの間に ● 可視化 か許容できるリスクレベルを大きく超えてしまいます。 攻撃者がどの脆弱性を突き、どのようにして侵入に成功したのか、すべてのステップを細かく見ることができるため、脆弱性 　一方で、定期的にテストを繰り返し行えば、許容できるリスクレベルを超えてしまっていることに気づける機会が増え、リスク 昨今のランサムウェアは日々更新され、 無差別に攻撃をしかけます。 サイバー攻撃の脅威が強まる中、 事業継続のために の原因や改善点も明らかになります。 レベルを低位で維持できるのです。 ファイアウォールのほかに、 さまざまなセキュリティ製品の導入が進んでいます。 しかし、 それらは最新の攻撃手法に対して ● 全て自動 適切な効果を発揮できているでしょうか。 豊富で高度な機能があっても設定ミスや設定不足でそれらを活かしきれていなけれ IPアドレスのレンジ指定とテストタイプを選択するのみで、あとは診断実行のボタンを押すだけです。結果が出るまで自動 ば意味がありません。 ハッカーの実際の攻撃手法を用いながら安全な診断を自動的かつ継続的に実施できる 「Pentera」 を でテストを実施します。その間、担当者は別の仕事に従事できます。 用いることで、 こうしたセキュリティ対策の有効性の確度を高め、 攻撃に対する不安を取り払うことができます。 ● 優先修復 テスト後にどの脆弱性から対応していくべきかの判断は難しいものです。Penteraは攻撃者視点で、脅威に直面する可能 性が高い順に修復手順を提示します。情報システムの脆弱性を評価する際、よくCVSS（共通脆弱性評価システム）が用い 脅威が増すサイバー攻撃は「検知」さえも難しい られますが、CVSSで緊急度が高い場合でも診断した環境によっては影響度が大きくないことがあります。逆にCVSSの緊 急度が低い場合でも、その脆弱性をきっかけに影響が大きくなることがあります。Penteraは、より実環境に沿った優先度 　サイバー攻撃の技術やランサムウェアなどのプログラムは、日進月歩で進化しています。公的機関の呼びかけや被害報道が 順での改善を提案します。 世界の大手金融機関に支持されるPentera 相次いでいるにもかかわらず、被害は増える一方です。警察庁の調査によると、2020年下期から2022年上期にかけて、ランサム ● 最新ハッキング技術 ウェアの被害件数は4倍に増えています。 Penteraは3カ月に1回、新しい攻撃手法を実装しているため、最新の攻撃手法に近いペネトレーションテストを実施できます。 　Penteraは2015年に設立されたイスラエル企業で、2023年1月には日本法人が営業を開始しました。 　脅威に対し、十分な備えができているでしょうか。ウイルス対策ソフトなどの導入については多くの企業が実施していますが、そ 　ASVソリューションは2018年にローンチし、それからの4年間で顧客は730社を超えるまでに成長しています。社員数は300 　こうした特徴を持つPenteraでは、セキュリティ製品では守れない「攻撃者視点」でのセキュリティ検査が可能で、次のようなセ れだけでは安心できないのが昨今の実態です。警察庁の調査では、被害企業 ・ 団体等の8割以上がウイルス対策ソフト等を 人を超えましたが、これは1年前の約2倍であり、ASVへの注目度や必要性が急速に上昇していることを物語っています。 キュリティ耐性の確認と改善を実現します。 導入済みでしたが、そのうち9割は検出できていませんでした。 　Penteraが直接相対するエンドユーザーで、もっとも多いのは金融業界（13%）です。BNP PARIBAS、Paysafe、BTIG、 　もちろん、他のセキュリティ対策も講じていることでしょう。EDR/NDR（Endpoint/ Network Detection & Response）、ファイアウォー European Investment Bank Group、City National Bankなど、名だたる企業がPenteraによって継続的なペネトレーションテスト ル、 WAF （Web Application Firewall）、 SIEM （Security Information and Event Management）、 SOAR （Security Orchestration, を実施しています。 Automation and Response）など、さまざまなソリューションの導入が進んでいるのは事実です。しかし、これらが導入済みだとしても、本 継続的な評価のためにはASVによる自動化が欠かせない 　BlackstoneもPenteraを導入した1社です。かつては手動によるペネトレーションテストを４カ月～６カ月間隔で行っていたた 当に期待に応えてくれるでしょうか。 ため、その間隔をさらに短縮したいと考えていました。一方で、この業務は単純作業の繰り返しが要求されることもあり、優秀 　こうした期待とのギャップが生まれる要因はソリューション導入のリードタイムとも関係しています。例えば、ランサムウェア被害の 　こうした背景を踏まえて企業に求められるのが、ASV（Automated Security Validation＝自動化されたセキュリティ検証）とい な人材が確保しにくい状況でした。Penteraを導入した現在は、テストを毎週実施できる体制を実現し、一貫したプロセスを繰 ニュースを耳にして、新たなソリューションを検討したとしても、本番環境に実装されるまでに半年以上かかってしまえば、その間 うアプローチです。これはサイバー脅威に対して組織のセキュリティ対策がどれほど有効であるかを自動的かつ継続的に検証 Penteraによる検査の流れ り返し実行することでセキュリティギャップの早期発見と対応を可能にしました。これは国外企業の事例ですが、実際に日本 に新たに現れたサイバー攻撃の手法やトレンドに追随できない恐れがあります。また、社内でもこの期間に新しいIT製品の導 するものです。ASVのメリットは、大きく3つあります。 国内の大手金融機関でも、海外法人にてPenteraの利用が始まっています。 入を行えばそれに伴う設定も考慮しなくてはなりません。 　実際に、検査の流れを見ていきましょう。ランサムウェア対策に関しては、Penteraの機能「Ransomware Emulation」によっ 　東京エレクトロンデバイスでは、Penteraが日本法人を立ち上げる前の2020年から販売代理店契約を結び、導入 ・ 構築 ・ ➊ 継続的な診断：変化が非常に早い昨今においても、セキュリティ状況やネットワーク環境を継続的に可視化・把握できます。 て、ランサムウェアグループによる攻撃のフローを忠実に再現して診断します。 検証支援までをサポートするとともに、ヘルプデスクサービスを提供してきました。当社では、1日で完結するPenteraを使用し 　現在は4つの主要なランサムウェア（Maze/Conti/Revil/ Lockbit2.0）による攻撃手法から1つを選んで診断を実施できます。 継続的なペネトレーションテストの実施が理想 ➋ 自動化 ： 少ない工数でセキュリティ耐性の可視化ができます。自社全体への網羅的な診断は、マニュアルで実施しようとす たセキュリティ耐性の検証サービス「1Day PoV」を無償で実施しており、テスト完了後にはPenteraのレポートをもとに診断結 るとコストがかかりすぎて現実的でありませんが、自動化によって可能になります。 診断が始まると、攻撃開始、ランサムウェア送り込み、ランサムウェア実行、ファイル暗号化、バックアップ消去、ファイル流 果をご説明することができます。ご興味ある方はぜひお問い合わせください。 　セキュリティ対策は、平時においてその効果を確認しづらく、事後に効果を実感する性質のものです。サイバー攻撃を受け 出、クリーンナップまでを自動で行います。 ➌ セキュリティ耐性の強化 ： 実際の攻撃手法で診断することにより、セキュリティ製品の有効性が確認できます。また、自社に た際に対処できればよいのですが、機能しないかもしれません。それゆえ、さまざまなソリューションを導入したとしてもセキュ 影響する脆弱性をタイムリーに把握。さらに、使用しているパスワードの脆弱性や、パスワードが変更されてしまう脆弱性な リティ担当者はなかなか安心することができません。セキュリティ対策に確信を持てないのは、自己評価する機会が少ないこ ども可視化 ・ 評価が可能です。 とも関係しています。次のようなタイミングで評価を実施すべきです。 　先ほど紹介した金融庁の取組方針では「改善すべき領域を特定するツールが必ずしも広く用いられてこなかった」「インシデ ・ セキュリティを含む新規製品の導入時や更改時 ・ パスワード変更時 ントの原因には、ソフトウェアの脆弱性へのセキュリティパッチの適用漏れなど、基本的な行動が徹底されていない事例も見ら ・ 新規拠点の開設時　 　（高頻度の変更がユーザーには面倒で簡易的になりがち） れる…中略… IT資産の適切な管理、速やかなセキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取組み ・ 新しい端末の導入時 ・ 緊急度の高い脆弱性の発生時 （いわゆるサイバーハイジーン）が重要」といった課題を指摘しています。ASVソリューションは、こうした課題に対応する有効な ・ 新規サービスリリース時 ・ 緊急度の低い脆弱性の発生時（実際は影響度が高い可能性も） 手だてです。

　自己評価は金融庁も推奨しており、「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）」では、「モ グローバル市場で高く評価されるPenteraのASVソリューション 　検査終了後はGUI画面とレポートにより、セキュリティ製品の有効性、脆弱性および攻撃結果、対処方法までを確認できま ニタリング ・ 演習の高度化」と「サイバーセキュリティに関する自己評価の促進」について記しています。 す。PenteraのGUI画面では、まず、発見された脆弱性と攻撃の結果、攻撃のために収集された端末情報、解読されたユー 　自己評価には、攻撃者になりきって攻撃を試みるペネトレーションテストが有効だとされていますが、評価が必要なタイミン 　グローバル市場においてASVソリューションのリーディングカンパニーであるのがPentera社です。実際の攻撃手法を使用し ザーパスワードについて、時間をかけず能動的に確認できます。また、発見したセキュリティホールへの改善の簡易化が可 グが多く手間がかかります。そのため、リスクレベル低減に必須のモニタリング（可視化）において重要な「継続的な評価」が ながらも“安全”に診断を行うツールを提供しています。Penteraの強みは多岐にわたりますが、特徴的なのは次の5つです。 能で、対応すべき箇所の優先度の把握や、Penteraの脅威データベースを利用して対応方法を確認することも可能です。 困難です。 ● エージェントレス 　下図は、ペネトレーションテストによる自己評価が年1回の場合と、継続的に実施する場合の比較イメージです。 ゼロエージェントで何のクレデンシャルも持たずテストをします。攻撃者は通常、企業や団体のシステムへ侵入する際に 　初めてのテスト後、結果を受けて修復することでリスクレベルは下がります。しかし、年1回では、ベンダーから公表される新 エージェントを利用しません。そのため、より攻撃者に近い診断ができるのです。また、稼働しているシステムへの変更が不 たな脆弱性、新しいITシステムの追加、新しいユーザーの追加などに伴ってリスクレベルが許容値を超えても気づけません。 要であるため、テストを始めるまでが短期間で、かつ工数が少ないというメリットがあります。 気づけるタイミングは、もっとも遅い場合で364日後になるのです。リスクは時間の経過とともに累積していき、またいつの間に ● 可視化 か許容できるリスクレベルを大きく超えてしまいます。 攻撃者がどの脆弱性を突き、どのようにして侵入に成功したのか、すべてのステップを細かく見ることができるため、脆弱性 　一方で、定期的にテストを繰り返し行えば、許容できるリスクレベルを超えてしまっていることに気づける機会が増え、リスク の原因や改善点も明らかになります。 レベルを低位で維持できるのです。 ● 全て自動 年１回のみの診断、検証の場合 IPアドレスのレンジ指定とテストタイプを選択するのみで、あとは診断実行のボタンを押すだけです。結果が出るまで自動 でテストを実施します。その間、担当者は別の仕事に従事できます。 ● 優先修復 許容リスク テスト後にどの脆弱性から対応していくべきかの判断は難しいものです。Penteraは攻撃者視点で、脅威に直面する可能 性が高い順に修復手順を提示します。情報システムの脆弱性を評価する際、よくCVSS（共通脆弱性評価システム）が用い ペンテスト 新規脆弱性 新規システム導入 新規管理者 新重要データ 新端末 脅威が増すサイバー攻撃は「検知」さえも難しい られますが、CVSSで緊急度が高い場合でも診断した環境によっては影響度が大きくないことがあります。逆にCVSSの緊 継続的に診断、検証の場合 急度が低い場合でも、その脆弱性をきっかけに影響が大きくなることがあります。Penteraは、より実環境に沿った優先度 　サイバー攻撃の技術やランサムウェアなどのプログラムは、日進月歩で進化しています。公的機関の呼びかけや被害報道が 順での改善を提案します。 世界の大手金融機関に支持されるPentera 相次いでいるにもかかわらず、被害は増える一方です。警察庁の調査によると、2020年下期から2022年上期にかけて、ランサム ● 最新ハッキング技術 ウェアの被害件数は4倍に増えています。 PT PT PT PT PT PT Penteraは3カ月に1回、新しい攻撃手法を実装しているため、最新の攻撃手法に近いペネトレーションテストを実施できます。 　Penteraは2015年に設立されたイスラエル企業で、2023年1月には日本法人が営業を開始しました。 　脅威に対し、十分な備えができているでしょうか。ウイルス対策ソフトなどの導入については多くの企業が実施していますが、そ 許容リスク 　ASVソリューションは2018年にローンチし、それからの4年間で顧客は730社を超えるまでに成長しています。社員数は300 　こうした特徴を持つPenteraでは、セキュリティ製品では守れない「攻撃者視点」でのセキュリティ検査が可能で、次のようなセ れだけでは安心できないのが昨今の実態です。警察庁の調査では、被害企業 ・ 団体等の8割以上がウイルス対策ソフト等を 人を超えましたが、これは1年前の約2倍であり、ASVへの注目度や必要性が急速に上昇していることを物語っています。 ペンテスト 新規脆弱性 新規システム導入 新規管理者 新重要データ 新端末 キュリティ耐性の確認と改善を実現します。 導入済みでしたが、そのうち9割は検出できていませんでした。 　Penteraが直接相対するエンドユーザーで、もっとも多いのは金融業界（13%）です。BNP PARIBAS、Paysafe、BTIG、 　もちろん、他のセキュリティ対策も講じていることでしょう。EDR/NDR（Endpoint/ Network Detection & Response）、ファイアウォー European Investment Bank Group、City National Bankなど、名だたる企業がPenteraによって継続的なペネトレーションテスト ル、 WAF （Web Application Firewall）、 SIEM （Security Information and Event Management）、 SOAR （Security Orchestration, を実施しています。 Automation and Response）など、さまざまなソリューションの導入が進んでいるのは事実です。しかし、これらが導入済みだとしても、本 継続的な評価のためにはASVによる自動化が欠かせない 　BlackstoneもPenteraを導入した1社です。かつては手動によるペネトレーションテストを４カ月～６カ月間隔で行っていたた 当に期待に応えてくれるでしょうか。 ため、その間隔をさらに短縮したいと考えていました。一方で、この業務は単純作業の繰り返しが要求されることもあり、優秀 　こうした期待とのギャップが生まれる要因はソリューション導入のリードタイムとも関係しています。例えば、ランサムウェア被害の 　こうした背景を踏まえて企業に求められるのが、ASV（Automated Security Validation＝自動化されたセキュリティ検証）とい な人材が確保しにくい状況でした。Penteraを導入した現在は、テストを毎週実施できる体制を実現し、一貫したプロセスを繰 ニュースを耳にして、新たなソリューションを検討したとしても、本番環境に実装されるまでに半年以上かかってしまえば、その間 うアプローチです。これはサイバー脅威に対して組織のセキュリティ対策がどれほど有効であるかを自動的かつ継続的に検証 Penteraによる検査の流れ り返し実行することでセキュリティギャップの早期発見と対応を可能にしました。これは国外企業の事例ですが、実際に日本 に新たに現れたサイバー攻撃の手法やトレンドに追随できない恐れがあります。また、社内でもこの期間に新しいIT製品の導 するものです。ASVのメリットは、大きく3つあります。 国内の大手金融機関でも、海外法人にてPenteraの利用が始まっています。 入を行えばそれに伴う設定も考慮しなくてはなりません。 　実際に、検査の流れを見ていきましょう。ランサムウェア対策に関しては、Penteraの機能「Ransomware Emulation」によっ 　東京エレクトロンデバイスでは、Penteraが日本法人を立ち上げる前の2020年から販売代理店契約を結び、導入 ・ 構築 ・ ➊ 継続的な診断：変化が非常に早い昨今においても、セキュリティ状況やネットワーク環境を継続的に可視化・把握できます。 て、ランサムウェアグループによる攻撃のフローを忠実に再現して診断します。 検証支援までをサポートするとともに、ヘルプデスクサービスを提供してきました。当社では、1日で完結するPenteraを使用し 　現在は4つの主要なランサムウェア（Maze/Conti/Revil/ Lockbit2.0）による攻撃手法から1つを選んで診断を実施できます。 継続的なペネトレーションテストの実施が理想 ➋ 自動化 ： 少ない工数でセキュリティ耐性の可視化ができます。自社全体への網羅的な診断は、マニュアルで実施しようとす たセキュリティ耐性の検証サービス「1Day PoV」を無償で実施しており、テスト完了後にはPenteraのレポートをもとに診断結 るとコストがかかりすぎて現実的でありませんが、自動化によって可能になります。 診断が始まると、攻撃開始、ランサムウェア送り込み、ランサムウェア実行、ファイル暗号化、バックアップ消去、ファイル流 果をご説明することができます。ご興味ある方はぜひお問い合わせください。 　セキュリティ対策は、平時においてその効果を確認しづらく、事後に効果を実感する性質のものです。サイバー攻撃を受け 出、クリーンナップまでを自動で行います。 ➌ セキュリティ耐性の強化 ： 実際の攻撃手法で診断することにより、セキュリティ製品の有効性が確認できます。また、自社に た際に対処できればよいのですが、機能しないかもしれません。それゆえ、さまざまなソリューションを導入したとしてもセキュ 影響する脆弱性をタイムリーに把握。さらに、使用しているパスワードの脆弱性や、パスワードが変更されてしまう脆弱性な リティ担当者はなかなか安心することができません。セキュリティ対策に確信を持てないのは、自己評価する機会が少ないこ ども可視化 ・ 評価が可能です。 とも関係しています。次のようなタイミングで評価を実施すべきです。 　先ほど紹介した金融庁の取組方針では「改善すべき領域を特定するツールが必ずしも広く用いられてこなかった」「インシデ ントの原因には、ソフトウェアの脆弱性へのセキュリティパッチの適用漏れなど、基本的な行動が徹底されていない事例も見ら れる…中略… IT資産の適切な管理、速やかなセキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取組み （いわゆるサイバーハイジーン）が重要」といった課題を指摘しています。ASVソリューションは、こうした課題に対応する有効な 手だてです。 2 Risk Level Risk Level

　自己評価は金融庁も推奨しており、「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）」では、「モ グローバル市場で高く評価されるPenteraのASVソリューション 　検査終了後はGUI画面とレポートにより、セキュリティ製品の有効性、脆弱性および攻撃結果、対処方法までを確認できま ニタリング ・ 演習の高度化」と「サイバーセキュリティに関する自己評価の促進」について記しています。 す。PenteraのGUI画面では、まず、発見された脆弱性と攻撃の結果、攻撃のために収集された端末情報、解読されたユー 　自己評価には、攻撃者になりきって攻撃を試みるペネトレーションテストが有効だとされていますが、評価が必要なタイミン 　グローバル市場においてASVソリューションのリーディングカンパニーであるのがPentera社です。実際の攻撃手法を使用し ザーパスワードについて、時間をかけず能動的に確認できます。また、発見したセキュリティホールへの改善の簡易化が可 グが多く手間がかかります。そのため、リスクレベル低減に必須のモニタリング（可視化）において重要な「継続的な評価」が ながらも“安全”に診断を行うツールを提供しています。Penteraの強みは多岐にわたりますが、特徴的なのは次の5つです。 能で、対応すべき箇所の優先度の把握や、Penteraの脅威データベースを利用して対応方法を確認することも可能です。 困難です。 ● エージェントレス 　下図は、ペネトレーションテストによる自己評価が年1回の場合と、継続的に実施する場合の比較イメージです。 ゼロエージェントで何のクレデンシャルも持たずテストをします。攻撃者は通常、企業や団体のシステムへ侵入する際に 　初めてのテスト後、結果を受けて修復することでリスクレベルは下がります。しかし、年1回では、ベンダーから公表される新 エージェントを利用しません。そのため、より攻撃者に近い診断ができるのです。また、稼働しているシステムへの変更が不 たな脆弱性、新しいITシステムの追加、新しいユーザーの追加などに伴ってリスクレベルが許容値を超えても気づけません。 要であるため、テストを始めるまでが短期間で、かつ工数が少ないというメリットがあります。 気づけるタイミングは、もっとも遅い場合で364日後になるのです。リスクは時間の経過とともに累積していき、またいつの間に ● 可視化 か許容できるリスクレベルを大きく超えてしまいます。 攻撃者がどの脆弱性を突き、どのようにして侵入に成功したのか、すべてのステップを細かく見ることができるため、脆弱性 　一方で、定期的にテストを繰り返し行えば、許容できるリスクレベルを超えてしまっていることに気づける機会が増え、リスク の原因や改善点も明らかになります。 レベルを低位で維持できるのです。 ● 全て自動 IPアドレスのレンジ指定とテストタイプを選択するのみで、あとは診断実行のボタンを押すだけです。結果が出るまで自動 でテストを実施します。その間、担当者は別の仕事に従事できます。 ● 優先修復 テスト後にどの脆弱性から対応していくべきかの判断は難しいものです。Penteraは攻撃者視点で、脅威に直面する可能 性が高い順に修復手順を提示します。情報システムの脆弱性を評価する際、よくCVSS（共通脆弱性評価システム）が用い 脅威が増すサイバー攻撃は「検知」さえも難しい られますが、CVSSで緊急度が高い場合でも診断した環境によっては影響度が大きくないことがあります。逆にCVSSの緊 急度が低い場合でも、その脆弱性をきっかけに影響が大きくなることがあります。Penteraは、より実環境に沿った優先度 　サイバー攻撃の技術やランサムウェアなどのプログラムは、日進月歩で進化しています。公的機関の呼びかけや被害報道が 順での改善を提案します。 世界の大手金融機関に支持されるPentera 相次いでいるにもかかわらず、被害は増える一方です。警察庁の調査によると、2020年下期から2022年上期にかけて、ランサム ● 最新ハッキング技術 ウェアの被害件数は4倍に増えています。 Penteraは3カ月に1回、新しい攻撃手法を実装しているため、最新の攻撃手法に近いペネトレーションテストを実施できます。 　Penteraは2015年に設立されたイスラエル企業で、2023年1月には日本法人が営業を開始しました。 　脅威に対し、十分な備えができているでしょうか。ウイルス対策ソフトなどの導入については多くの企業が実施していますが、そ 　ASVソリューションは2018年にローンチし、それからの4年間で顧客は730社を超えるまでに成長しています。社員数は300 　こうした特徴を持つPenteraでは、セキュリティ製品では守れない「攻撃者視点」でのセキュリティ検査が可能で、次のようなセ れだけでは安心できないのが昨今の実態です。警察庁の調査では、被害企業 ・ 団体等の8割以上がウイルス対策ソフト等を 人を超えましたが、これは1年前の約2倍であり、ASVへの注目度や必要性が急速に上昇していることを物語っています。 キュリティ耐性の確認と改善を実現します。 導入済みでしたが、そのうち9割は検出できていませんでした。 　Penteraが直接相対するエンドユーザーで、もっとも多いのは金融業界（13%）です。BNP PARIBAS、Paysafe、BTIG、 　もちろん、他のセキュリティ対策も講じていることでしょう。EDR/NDR（Endpoint/ Network Detection & Response）、ファイアウォー ・ パスワードの脆弱度 ・ 匿名ユーザーのアクセスが許可の有無 European Investment Bank Group、City National Bankなど、名だたる企業がPenteraによって継続的なペネトレーションテスト ル、 WAF （Web Application Firewall）、 SIEM （Security Information and Event Management）、 SOAR （Security Orchestration, ・ 脆弱性へのパッチ適用有無 ・ 不用意なリモートログインの許可の有無 を実施しています。 Automation and Response）など、さまざまなソリューションの導入が進んでいるのは事実です。しかし、これらが導入済みだとしても、本 継続的な評価のためにはASVによる自動化が欠かせない 　BlackstoneもPenteraを導入した1社です。かつては手動によるペネトレーションテストを４カ月～６カ月間隔で行っていたた ・ 権限なしでアクセス可能なサービスの有無 ・ 把握していない端末、サービスの存在の有無 当に期待に応えてくれるでしょうか。 ため、その間隔をさらに短縮したいと考えていました。一方で、この業務は単純作業の繰り返しが要求されることもあり、優秀 　こうした期待とのギャップが生まれる要因はソリューション導入のリードタイムとも関係しています。例えば、ランサムウェア被害の 　こうした背景を踏まえて企業に求められるのが、ASV（Automated Security Validation＝自動化されたセキュリティ検証）とい な人材が確保しにくい状況でした。Penteraを導入した現在は、テストを毎週実施できる体制を実現し、一貫したプロセスを繰 ニュースを耳にして、新たなソリューションを検討したとしても、本番環境に実装されるまでに半年以上かかってしまえば、その間 うアプローチです。これはサイバー脅威に対して組織のセキュリティ対策がどれほど有効であるかを自動的かつ継続的に検証 Penteraによる検査の流れ り返し実行することでセキュリティギャップの早期発見と対応を可能にしました。これは国外企業の事例ですが、実際に日本 に新たに現れたサイバー攻撃の手法やトレンドに追随できない恐れがあります。また、社内でもこの期間に新しいIT製品の導 するものです。ASVのメリットは、大きく3つあります。 国内の大手金融機関でも、海外法人にてPenteraの利用が始まっています。 入を行えばそれに伴う設定も考慮しなくてはなりません。 　実際に、検査の流れを見ていきましょう。ランサムウェア対策に関しては、Penteraの機能「Ransomware Emulation」によっ 　東京エレクトロンデバイスでは、Penteraが日本法人を立ち上げる前の2020年から販売代理店契約を結び、導入 ・ 構築 ・ ➊ 継続的な診断：変化が非常に早い昨今においても、セキュリティ状況やネットワーク環境を継続的に可視化・把握できます。 て、ランサムウェアグループによる攻撃のフローを忠実に再現して診断します。 検証支援までをサポートするとともに、ヘルプデスクサービスを提供してきました。当社では、1日で完結するPenteraを使用し 　現在は4つの主要なランサムウェア（Maze/Conti/Revil/ Lockbit2.0）による攻撃手法から1つを選んで診断を実施できます。 継続的なペネトレーションテストの実施が理想 ➋ 自動化 ： 少ない工数でセキュリティ耐性の可視化ができます。自社全体への網羅的な診断は、マニュアルで実施しようとす たセキュリティ耐性の検証サービス「1Day PoV」を無償で実施しており、テスト完了後にはPenteraのレポートをもとに診断結 るとコストがかかりすぎて現実的でありませんが、自動化によって可能になります。 診断が始まると、攻撃開始、ランサムウェア送り込み、ランサムウェア実行、ファイル暗号化、バックアップ消去、ファイル流 果をご説明することができます。ご興味ある方はぜひお問い合わせください。 　セキュリティ対策は、平時においてその効果を確認しづらく、事後に効果を実感する性質のものです。サイバー攻撃を受け 出、クリーンナップまでを自動で行います。 ➌ セキュリティ耐性の強化 ： 実際の攻撃手法で診断することにより、セキュリティ製品の有効性が確認できます。また、自社に レポート た際に対処できればよいのですが、機能しないかもしれません。それゆえ、さまざまなソリューションを導入したとしてもセキュ 影響する脆弱性をタイムリーに把握。さらに、使用しているパスワードの脆弱性や、パスワードが変更されてしまう脆弱性な バックアップ 攻撃手法 消去 (ランサムウェアグループ) リティ担当者はなかなか安心することができません。セキュリティ対策に確信を持てないのは、自己評価する機会が少ないこ ども可視化 ・ 評価が可能です。 ・ ・ ・ クリーンナップ とも関係しています。次のようなタイミングで評価を実施すべきです。 Maze 攻撃開始 ランサムウェア ファイル Conti 実行 ファイル 流出 　先ほど紹介した金融庁の取組方針では「改善すべき領域を特定するツールが必ずしも広く用いられてこなかった」「インシデ Revil 暗号化 ランサムウェア ントの原因には、ソフトウェアの脆弱性へのセキュリティパッチの適用漏れなど、基本的な行動が徹底されていない事例も見ら Lockbit2.0 送り込み れる…中略… IT資産の適切な管理、速やかなセキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取組み （いわゆるサイバーハイジーン）が重要」といった課題を指摘しています。ASVソリューションは、こうした課題に対応する有効な セキュリティ 脆弱性＆ 対処方法 MITRE ATT&CK フレームワークへのマッピング 製品有効性 攻撃結果 手だてです。 3

　自己評価は金融庁も推奨しており、「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）」では、「モ グローバル市場で高く評価されるPenteraのASVソリューション 　検査終了後はGUI画面とレポートにより、セキュリティ製品の有効性、脆弱性および攻撃結果、対処方法までを確認できま ニタリング ・ 演習の高度化」と「サイバーセキュリティに関する自己評価の促進」について記しています。 す。PenteraのGUI画面では、まず、発見された脆弱性と攻撃の結果、攻撃のために収集された端末情報、解読されたユー 　自己評価には、攻撃者になりきって攻撃を試みるペネトレーションテストが有効だとされていますが、評価が必要なタイミン 　グローバル市場においてASVソリューションのリーディングカンパニーであるのがPentera社です。実際の攻撃手法を使用し ザーパスワードについて、時間をかけず能動的に確認できます。また、発見したセキュリティホールへの改善の簡易化が可 グが多く手間がかかります。そのため、リスクレベル低減に必須のモニタリング（可視化）において重要な「継続的な評価」が ながらも“安全”に診断を行うツールを提供しています。Penteraの強みは多岐にわたりますが、特徴的なのは次の5つです。 能で、対応すべき箇所の優先度の把握や、Penteraの脅威データベースを利用して対応方法を確認することも可能です。 困難です。 ● エージェントレス 　下図は、ペネトレーションテストによる自己評価が年1回の場合と、継続的に実施する場合の比較イメージです。 ゼロエージェントで何のクレデンシャルも持たずテストをします。攻撃者は通常、企業や団体のシステムへ侵入する際に 　初めてのテスト後、結果を受けて修復することでリスクレベルは下がります。しかし、年1回では、ベンダーから公表される新 エージェントを利用しません。そのため、より攻撃者に近い診断ができるのです。また、稼働しているシステムへの変更が不 たな脆弱性、新しいITシステムの追加、新しいユーザーの追加などに伴ってリスクレベルが許容値を超えても気づけません。 要であるため、テストを始めるまでが短期間で、かつ工数が少ないというメリットがあります。 気づけるタイミングは、もっとも遅い場合で364日後になるのです。リスクは時間の経過とともに累積していき、またいつの間に 時間をかけずに能動的な確認が可能に ● 可視化 か許容できるリスクレベルを大きく超えてしまいます。 攻撃者がどの脆弱性を突き、どのようにして侵入に成功したのか、すべてのステップを細かく見ることができるため、脆弱性 ➊ 発見された脆弱性と攻撃の結果 　一方で、定期的にテストを繰り返し行えば、許容できるリスクレベルを超えてしまっていることに気づける機会が増え、リスク の原因や改善点も明らかになります。 ➋ 攻撃のために収集された端末情報 レベルを低位で維持できるのです。 ➌ 解読されたユーザーパスワード ● 全て自動 IPアドレスのレンジ指定とテストタイプを選択するのみで、あとは診断実行のボタンを押すだけです。結果が出るまで自動 でテストを実施します。その間、担当者は別の仕事に従事できます。 ● 優先修復 テスト後にどの脆弱性から対応していくべきかの判断は難しいものです。Penteraは攻撃者視点で、脅威に直面する可能 性が高い順に修復手順を提示します。情報システムの脆弱性を評価する際、よくCVSS（共通脆弱性評価システム）が用い 脅威が増すサイバー攻撃は「検知」さえも難しい られますが、CVSSで緊急度が高い場合でも診断した環境によっては影響度が大きくないことがあります。逆にCVSSの緊 急度が低い場合でも、その脆弱性をきっかけに影響が大きくなることがあります。Penteraは、より実環境に沿った優先度 　サイバー攻撃の技術やランサムウェアなどのプログラムは、日進月歩で進化しています。公的機関の呼びかけや被害報道が 順での改善を提案します。 世界の大手金融機関に支持されるPentera 相次いでいるにもかかわらず、被害は増える一方です。警察庁の調査によると、2020年下期から2022年上期にかけて、ランサム ● 最新ハッキング技術 ウェアの被害件数は4倍に増えています。 Penteraは3カ月に1回、新しい攻撃手法を実装しているため、最新の攻撃手法に近いペネトレーションテストを実施できます。 　Penteraは2015年に設立されたイスラエル企業で、2023年1月には日本法人が営業を開始しました。 　脅威に対し、十分な備えができているでしょうか。ウイルス対策ソフトなどの導入については多くの企業が実施していますが、そ 　ASVソリューションは2018年にローンチし、それからの4年間で顧客は730社を超えるまでに成長しています。社員数は300 　こうした特徴を持つPenteraでは、セキュリティ製品では守れない「攻撃者視点」でのセキュリティ検査が可能で、次のようなセ れだけでは安心できないのが昨今の実態です。警察庁の調査では、被害企業 ・ 団体等の8割以上がウイルス対策ソフト等を 人を超えましたが、これは1年前の約2倍であり、ASVへの注目度や必要性が急速に上昇していることを物語っています。 キュリティ耐性の確認と改善を実現します。 導入済みでしたが、そのうち9割は検出できていませんでした。 　Penteraが直接相対するエンドユーザーで、もっとも多いのは金融業界（13%）です。BNP PARIBAS、Paysafe、BTIG、 　もちろん、他のセキュリティ対策も講じていることでしょう。EDR/NDR（Endpoint/ Network Detection & Response）、ファイアウォー European Investment Bank Group、City National Bankなど、名だたる企業がPenteraによって継続的なペネトレーションテスト ル、 WAF （Web Application Firewall）、 SIEM （Security Information and Event Management）、 SOAR （Security Orchestration, を実施しています。 Automation and Response）など、さまざまなソリューションの導入が進んでいるのは事実です。しかし、これらが導入済みだとしても、本 継続的な評価のためにはASVによる自動化が欠かせない 　BlackstoneもPenteraを導入した1社です。かつては手動によるペネトレーションテストを４カ月～６カ月間隔で行っていたた 当に期待に応えてくれるでしょうか。 ため、その間隔をさらに短縮したいと考えていました。一方で、この業務は単純作業の繰り返しが要求されることもあり、優秀 　こうした期待とのギャップが生まれる要因はソリューション導入のリードタイムとも関係しています。例えば、ランサムウェア被害の 　こうした背景を踏まえて企業に求められるのが、ASV（Automated Security Validation＝自動化されたセキュリティ検証）とい な人材が確保しにくい状況でした。Penteraを導入した現在は、テストを毎週実施できる体制を実現し、一貫したプロセスを繰 ニュースを耳にして、新たなソリューションを検討したとしても、本番環境に実装されるまでに半年以上かかってしまえば、その間 うアプローチです。これはサイバー脅威に対して組織のセキュリティ対策がどれほど有効であるかを自動的かつ継続的に検証 Penteraによる検査の流れ り返し実行することでセキュリティギャップの早期発見と対応を可能にしました。これは国外企業の事例ですが、実際に日本 に新たに現れたサイバー攻撃の手法やトレンドに追随できない恐れがあります。また、社内でもこの期間に新しいIT製品の導 するものです。ASVのメリットは、大きく3つあります。 国内の大手金融機関でも、海外法人にてPenteraの利用が始まっています。 入を行えばそれに伴う設定も考慮しなくてはなりません。 　実際に、検査の流れを見ていきましょう。ランサムウェア対策に関しては、Penteraの機能「Ransomware Emulation」によっ 　東京エレクトロンデバイスでは、Penteraが日本法人を立ち上げる前の2020年から販売代理店契約を結び、導入 ・ 構築 ・ ➊ 継続的な診断：変化が非常に早い昨今においても、セキュリティ状況やネットワーク環境を継続的に可視化・把握できます。 て、ランサムウェアグループによる攻撃のフローを忠実に再現して診断します。 検証支援までをサポートするとともに、ヘルプデスクサービスを提供してきました。当社では、1日で完結するPenteraを使用し 　現在は4つの主要なランサムウェア（Maze/Conti/Revil/ Lockbit2.0）による攻撃手法から1つを選んで診断を実施できます。 継続的なペネトレーションテストの実施が理想 ➋ 自動化 ： 少ない工数でセキュリティ耐性の可視化ができます。自社全体への網羅的な診断は、マニュアルで実施しようとす たセキュリティ耐性の検証サービス「1Day PoV」を無償で実施しており、テスト完了後にはPenteraのレポートをもとに診断結 るとコストがかかりすぎて現実的でありませんが、自動化によって可能になります。 診断が始まると、攻撃開始、ランサムウェア送り込み、ランサムウェア実行、ファイル暗号化、バックアップ消去、ファイル流 果をご説明することができます。ご興味ある方はぜひお問い合わせください。 　セキュリティ対策は、平時においてその効果を確認しづらく、事後に効果を実感する性質のものです。サイバー攻撃を受け 出、クリーンナップまでを自動で行います。 ➌ セキュリティ耐性の強化 ： 実際の攻撃手法で診断することにより、セキュリティ製品の有効性が確認できます。また、自社に た際に対処できればよいのですが、機能しないかもしれません。それゆえ、さまざまなソリューションを導入したとしてもセキュ 影響する脆弱性をタイムリーに把握。さらに、使用しているパスワードの脆弱性や、パスワードが変更されてしまう脆弱性な 会社名および製品名は、 それぞれ会社の商標あるいは登録商標です。 リティ担当者はなかなか安心することができません。セキュリティ対策に確信を持てないのは、自己評価する機会が少ないこ ども可視化 ・ 評価が可能です。 とも関係しています。次のようなタイミングで評価を実施すべきです。 　先ほど紹介した金融庁の取組方針では「改善すべき領域を特定するツールが必ずしも広く用いられてこなかった」「インシデ CN BU https://cn.teldevice.co.jp ントの原因には、ソフトウェアの脆弱性へのセキュリティパッチの適用漏れなど、基本的な行動が徹底されていない事例も見ら 新宿 ：〒163-1034 東京都新宿区西新宿 3-7-1 新宿パークタワー S34 階 名古屋 ：〒451-0045 愛知県名古屋市西区名駅 2-27-8 名古屋プライムセントラルタワー 8 階 れる…中略… IT資産の適切な管理、速やかなセキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取組み Tel.03-5908-1990 Fax.03-5908-1991 Tel.052-562-0826 Fax.052-561-5382 大阪 ：〒540-6033 大阪府大阪市中央区城見 1-2-27 クリスタルタワー 33 階 つくば ：〒305-0033 茨城県つくば市東新井 15-4 関友つくばビル 7 階 （いわゆるサイバーハイジーン）が重要」といった課題を指摘しています。ASVソリューションは、こうした課題に対応する有効な Tel.06-4792-1908 Fax.06-6945-8581 Tel.029-848-6030 Fax.029-848-6035 手だてです。 お問い合わせは、 Web サイトの下記フォームよりお願いします。 https://cn.teldevice.co.jp/product/pentera/form.html 4 Apr 2023