物理ペネトレーションテスト

物理ペネトレーションテストとは

物理ペネトレーションテストとは、企業や組織のオフィス、工場などの施設や設備に対し、悪意を持つ攻撃者の視点と手法を用いて、物理的な侵入を試みることで、侵入等に関する物理セキュリティリスクおよび物理的アクセスを足がかりとしたサイバーセキュリティリスクを実証的に評価するものです。

物理的脆弱性を突いた侵入リスクにも備えていますか

近年、サイバー攻撃の深刻化により、企業ではサイバーセキュリティ対策の重要性が広く認識されています。単にセキュリティ製品を導入するだけでなく、社内システムやネットワークに対する脆弱性診断やペネトレーションテストを通じて、対策の有効性を定期的に検証することが一般化しています。

一方、物理的セキュリティでは入退室管理や監視カメラの設置などが行われていても、その対策の有効性の検証は十分に行っていないのではないでしょうか。攻撃者は社員や業者を装って施設に侵入したり、USBでマルウェアを持ち込んだり、機器に直接アクセスするなど、物理的手段からサイバー空間へ侵入する可能性もあります。

物理セキュリティのプロだからこそ発見できるリスク

ALSOKでは、警備業界のパイオニアとして創業以来培ったプロフェッショナルな経験と、膨大なデータ・ノウハウを駆使した物理ペネトレーションテストをご提供いたします。実際の警備現場で磨かれた実践的な視点により、お客様の施設に潜む真のリスクを的確に把握し、効果的なセキュリティ対策を立案します。

調査項目（一例）

事前調査

公開情報調査

貴社Webサイトなどの公開情報から侵入に役立つ情報を調査します。

ダークウェブ調査

本来公開されていないはずの情報をダークウェブで調査し、侵入の足がかりとします。

現地調査

社員や出入り業者の服装、入退館口の警備状況など侵入に必要な情報を現地で調査します。

物理侵入

共連れ

入館が可能な人物のあとに付いて、一緒に入館できるか調査します。

ソーシャルエンジニアリング

セキュリティ意識や運用の弱点を突いて侵入に必要となる情報や物品の入手が可能かを確認します。

ICカード偽装

ICカード自体の耐偽装性能や、入退館装置の偽装に対する設定を調査します。

疑似サイバー攻撃

Wi-Fi アタック

認証方式に応じた攻撃手法により、Wi-Fiネットワークへの侵入ができるか調査します。

不正端末接続

小型の装置を秘密裏に設置できるかどうか。また、セキュリティ対策を回避してネットワークに侵入できるかどうか調査します。

Bad USB

不正プログラムが仕込まれたUSB機器をPCに接続された場合の耐性を調査します。

セキュリティ診断

盗聴器探索

専用機器で盗聴電波を検知し、企業内の盗聴器を検出します。

盗撮器探索

専用機器で企業内の隠しカメラなどの盗撮器を検出します。

調査領域拡大対応

テストの中で検出された脆弱性について、施設内の各所に横展開して調査します。

※上記はテスト内容の一例です。テスト項目はお客様と相談のうえで決定いたします。
※一部のテストはBarrierCrack合同会社へ業務を委託いたします。

導入の流れ

ヒアリング

希望の実施時期や拠点の情報をヒアリングさせていただきます。また、実施方針についてご説明させていただきます。

⇒

お見積り

ヒアリング内容を基に、テスト範囲や期間を明確にした詳細なお見積りを提出いたします。

⇒

ご契約

お見積り内容にご納得いただけましたら、正式にご契約を締結させていただきます。

⇒

事前準備

入館証や、テストに使用してよい作業用PC、作業員の作業場所など、事前に取り決めたものをご準備いただく必要があります。

⇒

テスト実施

テスト内容によっては作業立ち合いをお願いする場合があります。こちらについても事前のお打ち合わせで取り決めいたします。

⇒

報告

テスト結果をまとめた詳細レポートを作成し、改善施策と併せてご報告いたします。

※お客様のご要望に応じ、報告会の実施も可能です。（報告書提出後1か月以内、1回のみ、90分程度を想定）

サービス利用のメリット

リスクの低減

物理ペネトレーションテストにより、不正侵入や重要データ窃取などの物理的脅威のリスクを事前に検出できます。
テスト結果に基づいて入退室管理システムの強化、監視カメラの見直し、警備体制の改善を実施することで、セキュリティインシデントの発生リスクを低減します。

信頼性の向上

物理ペネトレーションテストの実施により、顧客や取引先に対してセキュリティへの真剣な取り組み姿勢を示すことができます。第三者による客観的評価を受けることで自社のセキュリティ対策の有効性が証明され、ビジネスパートナーからの信頼獲得と従業員のセキュリティ意識向上につながります。

各種要件への対応

ISO/IEC 27000シリーズやNIST SP800シリーズ等の国際的なセキュリティ基準やガイドラインでは、物理的セキュリティ対策の実装が求められています。
物理ペネトレーションテストの実施により、これらの対策の実効性を確認できるとともにFISC安全対策基準なども含めたガイドラインと紐付けた形でテスト結果を示すことも可能です。

お客様の声

当行では、セキュリティ対策のさらなる高度化を図る一環として、物理ペネトレーションテストを新たに実施しました。今回の取り組みは、経営層主導のもと、現実の攻撃を想定した脅威ベースのシナリオに基づいて行われ、事前通知なしでの実施により、技術面に加え、人的・運用面の対応力も含めた多角的な評価が可能となりました。
テスト後は、得られた示唆をもとに、社内で迅速かつ着実な改善活動を進めており、サイバーセキュリティと物理セキュリティのさらなる強化につながったと実感しています。物理ペネトレーションテストという先進的な取り組みに、物理セキュリティのプロフェッショナルとしての視点を持って、柔軟かつ丁寧に対応いただき、非常に有意義な検証を行うことができました。
今後もこうした取り組みを継続し、お客様に安心してご利用いただける環境づくりを一層推進してまいります。

株式会社あおぞら銀行様

よくあるご質問

テストにはどのくらいの期間がかかりますか？

テスト対象の規模や複雑さによって異なりますが、概ね1.5か月程度です。

テストによって業務に影響はありますか？

非破壊の範囲でオフィスやネットワークへの侵入を行います。また、お客様へのビジネスへの影響を避けるため、実施方法や禁足事項、立ち入り禁止エリアなどは事前のヒアリングにて調整をいたします。

費用について知りたい。

テストの実施内容によって異なりますのでお問合せください。

物理ペネトレーションテスト