セキュリティにおいては、人生と同様に、正確に指摘するのが最も難しい弱点は自分自身です。幸い、セキュリティについては、自分の欠点を徹底的に記録することは難しくありません。それはRapid7の仕事の一部であり、いいことでもあります。自分の抱える脆弱性と、攻撃者がその脆弱性を悪用する方法について理解することで、セキュリティプログラムの改善における重要な情報を得られます。Rapid7の侵入テストサービスチームはその点を考慮し、お客様の組織内のネットワーク、アプリケーション、デバイス、人に対する現実の攻撃をシミュレートします。その結果から、重要なシステムとインフラストラクチャのセキュリティレベルを実証し、セキュリティの強化に何が必要かを示します。問題点を指摘することは、お客様を煩わせるためではなく、お客様のためになるからです。
Rapid7の専門家が、お客様のネットワークに対する攻撃をシミュレートし、ネットワークの弱点(とその補強方法)を明らかにします。
お問い合わせ攻撃者を阻止する最適な手段は、攻撃者のように考え行動することです。そのため、Rapid7では、多くのセキュリティ企業とは異なり、大学を卒業したばかりのエンジニアや、セキュリティ分野よりもIT分野の経験が多いエンジニアを、ペンテスターとして雇用することはありません。その代わりに、悪事についての知識を持つ、善良な人たちを集めています。たとえば、ATMのハッキング、多機能プリンターの悪用、自動車のキーレスエントリーに対する攻撃、エンドポイント保護の回避、RFIDのクローンセキュリティアラームシステムの回避などに詳しい人たちです。それらのペンテスターは、単なるセキュリティの専門家ではなく、ホワイトハッカーです。
攻撃者を超える知識を維持し、他の人たちもそうできるように支援するために、Rapid7のペン・テスターは、勤務時間の25%を研究に充てています。また、セキュリティ・コミュニティへの貢献、論文の公開、カンファレンスでの発表、オープンソースのテスト・ツールの開発とリリース、人気のあるMetasploitモジュールの作成にも取り組んでいます。さらに、Rapid7はMetasploitの所有者であるため、Rapid7のペン・テスターは、世界で最も広く使用されている侵入テストツールを誰よりも存分に活用できる立場にいます。
大半の侵入テストでは、成果として期待できるのは、修正方法や優先順位についてのコンテキストがあまり含まれていない、大量の問題の一覧くらいでした。これではあまり役に立つとは言えません。Rapid7は、業界標準のランク付けプロセスを使用し、発見したことそれぞれの悪用のされやすさと影響に基づいて優先順位付けされた、問題の一覧を提供します。
そこから、発見したことそれぞれについての詳細な説明、概念実証、実用的な修正プランを得ることができます。リスクの重大性は、修正の優先順位を決める要素の1つに過ぎません。Rapid7は、修正に必要な労力についての情報も提供します。他にも、次の情報を提供します。
Rapid7は、優れたセキュリティは優れたコンプライアンスにつながると考えています。そのために、Metasploitへの投資と取り組みや、新しい攻撃者分析製品などを通じて、お客様が攻撃者について理解し、防御方法を身に付けられるように支援しています。この考え方はRapid7の侵入テスト・サービスにも当てはまります。ネットワーク環境やセキュリティ上の課題はお客様ごとに異なるため、Rapid7のペンテスターが利用する手法や攻撃ベクトルはテストごとに細かく調整されます。また、Rapid7は、自社のネットワークや製品に対しても侵入テストを定期的に実施しており、常に最新の情報を利用して現実の攻撃を検出できるようにしています。
Rapid7は、お客様のニーズを満たすために幅広い侵入テストサービスを提供しています。詳しくはこちらからお問い合わせください。
Rapid7は、現実の攻撃をシミュレーションし、現時点でお客様のネットワーク・インフラストラクチャに存在する脆弱性と脅威を評価します。
Rapid7のアプリケーション侵入テスト・サービスは、Open Source Security Testing Methodology Manual(OSSTMM)とPenetration Testing Execution Standard(PTES)に加えて、Webベース・アプリケーションのセキュリティ評価の包括的フレームワークであるOpen Web Application Security Project(OWASP)に基づいてWebアプリケーションを評価します。
モバイル・アプリケーションの利用が広まり続けるなかで、ユーザーと企業は、プライバシーの侵害、安全でないアプリケーションの連携、デバイスの盗難など、新しい脅威に直面しています。Rapid7は、APIやWebに関する脆弱性を調査するだけでなく、モバイル・プラットフォーム上のアプリケーションに存在するリスクについても検証します。Rapid7は、Open Web Application Security Project(OWASP)、Open Source Security Testing Methodology Manual(OSSTMM)、Penetration Testing Execution Standard(PTES)に基づいて、モバイル・アプリケーションのセキュリティを入念に評価します。
インターネット対応デバイスは、商用の広く普及したモノのインターネット(IoT)デバイスおよびシステムから、自動車、医療、ミッション・クリティカルな産業用制御システム(ICS)まで、多岐にわたります。Rapid7のテストは、デバイスの基本的なテストにとどまらず、対象のエコシステム全体を考慮します。通信のチャネルやプロトコル、暗号化技術の利用状況、インターフェイスとAPI、ファームウェア、ハードウェアなどの重要な領域に対応します。手動で詳細なテストと分析を行い、既知の脆弱性と未知の脆弱性の両方を調査します。
悪意のあるユーザーがネットワーク・インフラストラクチャを侵害するには、多くの場合、ネットワークやアプリケーションを悪用するよりも、ソーシャル・エンジニアリングを利用する方が成功率が高くなります。ソーシャル・エンジニアリングによる攻撃に備えるため、Rapid7は、人間ベースの攻撃と電子ベースの攻撃を組み合わせて攻撃をシミュレーションします。人間ベースの攻撃としては、信頼された人物になりすまし、情報を取得したり、情報やお客様のインフラストラクチャに対するアクセス権限を取得したりします。電子ベースの攻撃としては、特定の組織的目標や厳密さを念頭に計画された、高度なフィッシング攻撃を行います。Rapid7は、お客様の組織に合わせて攻撃の方法とプランをカスタマイズします。
組織の防御、検出、対応の能力に焦点をあてたいとお考えですか。Rapid7は、お客様と協力してカスタマイズした攻撃実行モデルを開発し、お客様の組織が直面する脅威を適切に再現できます。シミュレーションには、現実的な攻撃者の行動や、戦術、技術、手順(TTP)が含まれます。このシミュレーションを通じて、粘り強く意思の強い攻撃者に対するセキュリティ・プログラムの現実的な有効性を評価できます。
Rapid7は、Open Source Security Testing Methodology Manual(OSSTMM)とPenetration Testing Execution Standard(PTES)に基づいてワイヤレス・セキュリティを評価します。現実の攻撃をシミュレーションし、現時点でお客様のワイヤレス・ネットワーク・インフラストラクチャに存在する脆弱性と脅威を評価します。