伊藤忠テクノソリューションズ株式会社 (CTC) 様

公開セグメントと社内ネットワークに対して、外部・内部からペネトレーションテストを実施

今回、伊藤忠テクノソリューションズ(CTC)では、自社の公開セグメント及び一部内部セグメントに対するペネトレーションテストを、サイバーディフェンス研究所に委託しました。DMZに対してインターネット経由侵入できるか、DMZ内部または内部セグメントに何らか侵入された場合に、その被害がどの程度まで拡大してしまうかを検証することを目的に、あらゆる角度からハッキングを実施し、そのセキュリティ上の技術的問題点を洗い出しました。

導入したセキュリティ対策の全体評価

CTCでは、その情報資産を外部の脅威から守るために、ウルトラ・シンクライアントに代表される、様々なセキュリティ技術を導入するとともに、運用面でのセキュリティ強化も強く推進しております。その中で、技術の導入・運用の強化はしていても、セキュリティの目的、すなわち本当に外部の脅威に対して堅牢であるのかの確認がなされていませんでした。セキュリティ対策が有効に機能しているのか、対策の漏れはないのかを判断するには、脅威の対象である「人」によるペネトレーションテストが必要であると判断しました。

システム統合前、統合後のリスク評価

CTCは2006年度CRCソリューションズ社と合併しました。合併に伴い、システムの規模も2倍近くになりました。やはり気になるのは、異なるポリシーにより運用されてきた2つのシステムを統合する時のセキュリティの確保です。そこで、CTCでは、先ず統合前のシステムのセキュリティをペネトレーションテストにより評価、システム統合後に、再度ペネトレーションテストを実施することで、システム統合により発生したセキュリティ上の問題点を明確に把握でき、有効かつ効率的にセキュリティ対策を実施することができました。

継続的なペネトレーションテスト

システム統合時は特になのですが、通常の運用においても、定期的にペネトレーションテストを実施することにより、改善されたセキュリティ上の問題点と新たに発生した問題点を明示的に理解することができます。CTCでは従来、第三者によるツールをベースとした脆弱性診断を定期的に実施してきましたが、今回のペネトレーションテストでは、ツールの診断では認識されなかった重大な問題点も発見されました。このように自社のセキュリティ状況を本質的に把握することで、進化するセキュリティの脅威に対して、適切な対処が可能になります。今後とも、計画的にペネトレーションテストをCTCのセキュリティサイクルに組み込むことで、自発的にセキュリティが向上していく仕組み作りを進めていきます。