お問い合わせ
資料ダウンロード
緊急窓口

シナリオ型ペネトレーションテスト

Scenario type Penetration Test Service

リアルな攻撃シナリオで
組織の弱点を可視化

標的型攻撃や内部不正、構成ミスを起点とした多段階攻撃など、
実際の攻撃は単一技術の脆弱性を突くだけではありません。

CyberCrewのシナリオ型ペネトレーションテストは、業務構成・権限構造・技術構成を踏まえた
"実害想定"に基づいた攻撃ストーリーをゼロから設計し、それに沿って模擬攻撃を行うサービスです。

技術的な突破だけでなく、情報の奪取、業務停止、機密流出など、
「何が起こるか」まで再現し、経営リスクを可視化します。

経済産業省 情報セキュリティサービス基準 019-0026-10

経済産業省が定める「情報セキュリティサービス基準」に基づく登録サービス

サービス名:ペネトレーションテストサービス/脆弱性診断サービス

シナリオ型ペネトレーションテストの
特徴とアプローチ

実害を想定したストーリー設計

実害を想定したストーリー設計

  • 攻撃者の目的・手段を想定し、段階的な攻撃フローを設計
  • 内部感染、 lateral movement、情報奪取などの一連を再現

攻撃者視点で脆弱性を突く手法

攻撃者視点で脆弱性を突く手法

  • 攻撃者の視点で攻撃シナリオを設計・実行
  • 現実的な脅威に対する対応力を可視化可能

人・組織構造を含めた脆弱性評価

人・組織構造を含めた脆弱性評価

  • 技術構成に加え、権限設計・業務分断・認証運用の弱点も対象

シナリオ型ペネトレーションテストの
診断の流れ

  • ヒアリング

    守りたい情報・対象範囲を明確化します。

  • 攻撃シナリオの設計

    攻撃者の目的や攻撃経路の仮説を立てシナリオを策定し、具体的な個々の攻撃ステップに分解します。

  • 脆弱性診断

    脆弱性スキャンおよび、専門家による精密な検証を行います。

  • シナリオ実行と結果取得

    攻撃フローを順に再現し、影響を確認します。

  • 報告書提出・フィードバック

    経営者向けのサマリー・技術者向け詳細説明を含む報告書を作成し提出します。 ご要望に応じて報告会を実施いたします。

シナリオ型ペネトレーションテストの
よくあるユースケース

特定の脅威シナリオの検証

  • 機密情報窃取のシミュレーション:フィッシングから、社内ネットワークへ侵入、最終的な機密情報の持ち出しまで
  • ランサムウェア攻撃の耐性評価:マルウェア感染から、データの暗号化、機密情報の持ち出しまで
  • 重要インフラへの攻撃シミュレーション:制御システム(OT/ICS)、IoTデバイスなどの攻撃耐性を評価し、物理的な被害やシステム停止のリスクを検証

重大な変更後のセキュリティ確認

  • 一般ユーザーによる特権昇格の試み:Active Directoryの脆弱性や設定ミスを悪用してドメイン管理者権限を取得しようと試みる
  • 部門間のアクセス制御の迂回:別の部門の機密データに不正アクセスできるか、セグメンテーションの有効性を検証

定期的なセキュリティ評価・監査目的

  • PCI DSS準拠のための検証:PCI DSSが求める特定の脆弱性(例:SQLインジェクション、セキュアでない設定)が悪用可能かどうかを重点的に検証
  • GDPR/HIPAAにおけるデータ保護の検証:不正アクセスやデータ漏洩の経路がないかを、現実的な攻撃シナリオに基づいて検証

内部からの脅威対策

  • クラウド移行後のセキュリティ検証:クラウド特有の設定ミス(例:S3バケットの公開設定、IAM権限の過剰付与)や、サービス間の不適切な連携ポイントを狙った攻撃シナリオを実行
  • DevSecOpsパイプラインにおける継続的テスト:自動化されたツールと組み合わせつつ、手動によるシナリオベースのテストを継続的に実施し、リリースサイクルに合わせた迅速なセキュリティ評価を行う

企業分類 活用目的
大手企業(本社機能)
横断的な守りの評価、経営報告用の定性リスク把握
重要インフラ系
業務連携を含むシナリオ型評価で実被害想定
監査/認証対応
年次監査や第三者証明としての活用
開発企業
システム設計段階での構成リスクの確認

シナリオ型ペネトレーションテストに関する
よくあるご質問

脆弱性診断との違いは?

脆弱性診断は既知の問題をリストアップする「チェック」ですが、 ペネトレーションテストはその中でも”実際に悪用できるか”を検証します。 CyberCrewでは、ペネトレーションテストのすべてに脆弱性診断(ツール+手動)を内包しています。

シナリオ型と標的型、どちらを選べばよいか分かりません。

ご安心ください。お客様の目的・構成・予算に応じて最適な方式をご提案します。 まずはお気軽にご相談ください。

その他の診断サービス

Webアプリケーション | サイバーセキュリティの株式会社CyberCrew(サイバークルー)

Webアプリケーション ペネトレーションテスト

Webアプリケーション ペネトレーションテストは、ウェブサイトやウェブサービスなどのWebアプリケーションに特化した侵入テストサービスです。ホワ イトハッカーを擁するCyberCrew は、最新の脆弱性に対応したWebアプリ ケーション向けのペネトレーションテスト(侵入テスト)を提供しています。

モバイルアプリケーション | サイバーセキュリティの株式会社CyberCrew(サイバークルー)

モバイルアプリケーション ペネトレーションテスト

モバイルアプリケーション ペネトレーションテストは、スマートフォンやタブレットで利用されるモバイルアプリケーションに特化した侵入テストサービスです。アプリケーションの設計、構成、データ通信、保存領域、認証機構などを多角的に検証し、実際の攻撃を想定した高精度な脆弱性評価を実施します。

クラウドアプリケーション | サイバーセキュリティの株式会社CyberCrew(サイバークルー)

クラウド ペネトレーションテスト

クラウド ペネトレーションテストは、AWS、Azure、GCPなどのクラウド環境に特化した侵入テストサービスです。企業が利用するクラウド基盤に対して、実際の攻撃者を模した手法で脆弱性を検出し、重要なデータ資産の保 護を支援します。

ネットワークアプリケーション | サイバーセキュリティの株式会社CyberCrew(サイバークルー)

ネットワーク ペネトレーションテスト

ネットワーク ペネトレーションテスト(侵入テスト)は、企業のネットワークインフラに存在する脆弱性を特定し、攻撃者による不正アクセスや情報漏洩リスクを未然に防ぐことを目的としたセキュリティ評価サービスです。

診断サービス | サイバーセキュリティの株式会社CyberCrew(サイバークルー)

シナリオ型ペネトレーションテスト

業務や組織構造を踏まえてカスタム設計された“攻撃シナリオ”に沿って、 実際の攻撃フローを模擬的に実行。内部感染、権限昇格、情報持ち出しなど、 "攻撃の現実性"と"被害の広がり"を横断的に評価します。

ソーシャルエンジニアリングペネトレーションテスト

ソーシャルエンジニアリング テスト

人を標的にした攻撃(フィッシング・なりすまし・情報詐取など)を通じて、組織の「人と仕組み」の脆弱性を検証するテストです。物理侵入や電話を用いた疑似攻撃にも対応し、セキュリティポリシーの有効性や、従業員の対応力を評価します。

大規模言語モデル(LLM)ペネトレーションテスト

大規模言語モデル(LLM)ペネトレーションテスト

ChatGPTなどのLLM(大規模言語モデル)を活用したシステムに対して、プロンプトインジェクションや情報漏洩、脱検閲の再現を通じ、AIを介した攻撃経路の存在や被害範囲を検証するテストです。 API・チャットUI・外部連携など、実運用に近い条件で評価を行います。

脆弱性診断サービス

CyberCrewの脆弱性診断サービスは、自動ツールを活用した「スピーディかつリーズナブルな診断」により、企業のセキュリティ状況を可視化します。 なお、当社の「ペネトレーションテスト」サービスには、この脆弱性診断が前提工程として含まれており、 攻撃シナリオ設計や実行前にリスクを網羅的に把握することを目的として活用されます。


Page Top