Pentera

全てのセキュリティ検証に対応する
ASVプラットフォーム

実際のサイバー攻撃を安全に疑似再現した
侵入テストを、自動で実行。

脆弱性の有無・重要度を評価し、
攻撃が成功しうる領域を可視化します。

  • 簡単導入
    エージェントレスで
    完全自動化
  • 時間の節約
    専門家やテストの
    コーディネーションが不要
  • 安全性
    ハッカーの動きを既存環境に
    影響を与えずシミュレート

激化するサイバー脅威、拡大するギャップ

Your problems 1
サイバー犯罪の産業化に伴い、サイバー攻撃の脅威は年々変容・増大するばかりです。
日々変容する攻撃手法への対応に、依然として多くの企業が様々な課題を抱えています。

企業の課題。膨大なアラート=脆弱性の増加によるアラート数の肥大化し対応に追われている。環境変化への対応=スマホ、ラップトップ等エンドポイントの増加など、リモートワークの増加に伴い守備範囲が拡大している。専門知識の不足=サイバーセキュリティ対策のために必要な高度なスキルを持つIT技術者が不足している。
攻撃者の変化。低くなった参入障壁=サービス化されたツールを利用することで、技術が乏しくてもサイバー犯罪に加担することが可能となっている。加速・増加する攻撃=さまざまな高度な攻撃が大規模に実行され、規模も頻度も増大している。サイバー犯罪の産業化=テクノロジー企業があらゆるものをサービスとして提供する(as a Service化)ように、ランサムウェア等もサービス化されている。

Your problems 2
組織(防衛側)と攻撃者とでは、行動原理や優先順位付けの方法などが大きく異なり、
セキュリティ対策が後手に回る要因になります。

攻撃者サイド=・一般的な防御策に精通し、その前提で攻撃対象の弱点を探索、・実際の攻撃可能性と成果、見込めそうな利益を総合的に判断、・低リスクとされてる脆弱性も魅力的であれば攻撃対象に、・攻撃の成果を具体的に検証し戦術を調整。組織(防衛側)サイド=・全てのアセットの保護を目的としてセキュリティ構築、・CVSSなどの定量的なスコアリングを基に、優先順位を決定、・高リスクなものから対処、・脆弱性の存在を確認することが主な検証方法。

最新の攻撃に対抗するためには、
サイバー攻撃のリスクを継続的、かつ頻繁に評価し、そのリスクを軽減するための対策を常に更新する必要があります。

Special products
ASVツール「Pentera」の自動ペネトレーションテスト(侵入テスト)機能は、
サイバー攻撃のリスクを継続的に評価し、
更新性のある「一歩先んじた」セキュリティ対策を実現します。

POINT 1
Penteraひとつで
全てのセキュリティ検証に対応

外部アタックサーフェスの検証

  • 外部からのアタックサーフェスを継続的に監視し、ウェブ上でのサイバー防御を評価します。
  • Penteraは攻撃者の視点を明らかにし、アタックサーフェスで最も標的となりやすい箇所を浮き彫りにします。

内部ネットワーク検証

  • 内部ネットワークを継続的にテストし、最新の高度な脅威に対してどの程度対応できているかを安全に検証します。
  • Penteraはセキュリティギャップの悪用により生じる可能性がある影響を明らかにし、それに応じて修正の優先順位を決定します。

POINT 2
自動ペネトレーションテストで
広範囲で安定した検証を実現

Penteraでは独自のプログラムが自動でペネトレーションテストを行うため、従来の専門家による手動ペネトレーションテストとは違い、ネットワーク全体にわたる広範囲な脆弱性スキャンを短時間で実行できます。

これにより手動テストでは見逃される可能性がある脆弱性も検出できます。

従来の手動ペネトレーションテスト=テスト品質はエージェントのスキルに依存、多くの時間とリソースの投資が必要。
Penteraの自動ペネトレーションテスト=高範囲・高品質のテストを毎回実施、自動化により迅速なテストが可能。

POINT 3
高いセキュリティの専門知識なしで
継続的な検証サイクルの実施が可能

手動ペネトレーションテストの実施には、多くの社内プロセスと調整が必要とされ、その結果は実行するホワイトハッカーのスキルに大きく依存します。

Penteraでは、基本的なセキュリティ知識があれば、どなたでも容易に継続的な検証サイクルの実施が可能です。定期的に自動侵入テストを実施でき、継続的なセキュリティ監視とリスク評価を可能にするので、セキュリティ対策の優先順位をより効果的に設定することができます。また、具体的なアドバイスに基づいて対応策を講じることもできます。

POINT 4
実際の攻撃に基づく評価で
真に緊急性の高い脆弱性を検出

実際のサイバー攻撃を模倣した疑似攻撃を実施することで、侵入成功に寄与した真に緊急性の高い脆弱性を検出します(CVSSスコア、及び深刻度を評価)これにより、セキュリティチームは攻撃者の視点からシステムを評価し、エビデンスに基づいた本当のリスクにリソースを使うことができます。

ダークウェブの漏洩情報をもとにしたテスト・疑似的なランサムウェアでのテストも可能です。(オプション)

BASなどのソリューションではシミュレートを基にしたエージェントベースの脆弱スキャンが行われるため、危険のない脆弱性も含めて膨大な数が多々報告されますが、PenteraではBASのようなシミュレーションではなく、エージェントなしの自動化されたペネトレーションテストを実際に行うことで真に緊急性の高い脆弱性を検出します。

POINT 5
容易な操作性とレポート機能

Penteraでは直感的なGUIを備えており、テスト結果の確認、脆弱性の対処方法を提供します。(独自のWiki)

レポート作成機能、及び報告機能も備えています。
(検知した脆弱性およびその対応優先順位の提供)

  • エージェントレス・簡単導入
    ご用意いただくものは会社のネットワークに接続されたサーバだけ。エージェントレスで完全自動化テストが実現できます。
  • 時間・コストを節約
    専門家の手動テストに比べて時間と人件費を節約できます。同じ予算でより多くのテストを行うことが可能になります。
  • 安全で実効性のある設計
    高度な脅威を「安全に検証」します。また、実稼働に影響を与えない設計なので活動の邪魔をせず検証可能です。

Penteraについて問い合わせる

Penteraのカテゴリ「ASV」とは?

ASV(Automated Security Validation)は、実際の攻撃手法(不正アクセス)を模倣し、組織の防御を自動で試験します。伝統的なペネトレーションテストは、専門家の手によって行われますが、変化するビジネスインフラやコストの面から、常に実施するのは現実的ではありません。ここでASVが役立ち、継続的かつ実効性のあるセキュリティ検証を自動で行うことで、組織が進化する脅威に迅速に対応できるよう支援します。

ASV Specifications
ASVは数ある自動化ソリューションの中でも
実効性に優れています。

従来の自動化ソリューション

BAS(Breach and Attack Simulation)

  • 企業が自社のセキュリティインフラに対する攻撃サイクルを継続的かつ一貫してシミュレートできるようにする技術
  • 自社に設置されているセキュリティ製品に対して、網羅的に最新の攻撃シナリオで検証を実施することができる
  • ペネトレーションテストに比べて広範囲かつ効果的なセキュリティ評価が可能とされてきた

ASM(Attack Surface Management)

  • 公開情報から組織のIT資産を把握、組織名でドメイン特定しIPとホスト名を収集、管理者が把握できていないシステムや設定を発見
  • 発見したIT資産からOS、インストール済みソフトウェア・バージョン、開放ポートを特定してセキュリティの弱点を洗い出す
  • 収集した情報を脆弱性DBと照合しリスクを特定、修正で事故予防とコンプライアンス遵守を図り、ビジネス安全性向上

Pentera(ASV)

BAS+ASM < ASV(Pentera)

  • 組織のセキュリティを継続的に改善するために、BASのようなシミュレーションではなく、実際にペネトレーションテスト(侵入テスト)を自動化し、脆弱性を検出する技術
  • これにより、組織はリスクを正確に理解し、対策を迅速に実施できるようになる

複雑なセキュリティ環境での
実用的なリスク評価を提供可能

ASV(Pentera)はすべてのセキュリティ検証機能から
最高のもののみを組み合わせた単一のプラットフォームです。

ASV 脆弱性診断 BAS 手動
ペネトレーションテスト
外部攻撃面管理
(EASM)
脆弱性スキャン ×
攻撃可能性の検証 × ×
テストの完全自動化 × × ×
エージェント不要 × × ×
シミュレーションではなく
実攻撃手法の利用
× × ×
実環境でのリスクに応じた
対処提示
× × × ×
攻撃対象の網羅性 × × ×

Penteraで
サイバーセキュリティに革新を

導入に関するご相談やご質問等、お気軽にお問い合わせください。