セキュリティ診断導入事例(株式会社日立製作所様)

株式会社日立製作所 様

公開セグメントに対して、外部・内部の両面からペネトレーションテストを実施

今回、日立製作所では、インターネット公開セグメントに対するペネトレーションテストを、サイバーディフェンス研究所に委託しました。DMZに対してインターネット経由で侵入できるか、また、DMZ内部に侵入された場合に、被害を食い止めることが可能か等を検証することを目的に、あらゆる角度からハッキングを実施し、セキュリティ上の技術的および運用面での問題点を洗い出しました。

世界最高レベルのハッキング技術によるテスト

日立製作所では、情報資産を外部の脅威から守るために、様々なセキュリティ技術を導入するとともに、自己診断等、運用面でのセキュリティ強化も推進しております。しかし、公開サーバへの攻撃技術、手法は日々高度化しており、真の外部の脅威に対してシステムが堅牢であるかを検証するため、ハッカーの思考、技術に精通した第三者による診断が不可欠と考えました。そこで、サイバーディフェンス研究所の世界最高レベルのハッキング技術を持つエンジニアによる、リアルな外部の脅威を想定したペネトレーションテストの導入を決定しました。

多層防御へ向けたセキュリティ戦略の第一歩

日立製作所では、脆弱性管理ツール等を用いて、厳格なセキュリティ管理を実施しています。今回、インターネット経由のペネトレーションテストでは、外部からの侵入の可能性は確認されませんでしたが、ゼロデイ攻撃やソーシャルエンジニアリング等の可能性を勘案すると、必ずしもこれで安心という訳にはいきません。そこで、DMZ内に何らかの手段により侵入されたケースを想定して、内部に対してもペネトレーションテストを実施しました。ここで発見された問題点は、技術的要因に加え、運用面に起因するものもあり、ファイアウォールの次のセキュリティ層を確立していくにあたり、非常に有意義なテストとなりました。

継続的なペネトレーションテストを推進

脅威の対象はあくまでも「人」です。常に進化するハッキング手法、技術に対応するため、日立製作所では、セキュリティ技術の導入と運用の強化に加え、このような人によるペネトレーションテストを継続的に実施することで、さらなるセキュリティレベルの向上を目指していきます。

セキュリティ診断(脆弱性診断・ペネトレーションテスト)のサービスを見る

脆弱性診断(セキュリティ診断)とは?についてのコラムを見る