実際にシステムやネットワークに攻撃をしかけて検査するペネトレーションテストは、外部の攻撃者の視点でセキュリティホールを洗い出す実践的な手法だが、ALSOKとGMO サイバーセキュリティby イエラエは7月29日、物理空間からサイバー空間まで不正侵入リスクを可視化するセキュリティ診断サービスの開発を発表した。
サービスは、ダークウェブや公開情報からの情報収集から物理侵入、侵入後の攻撃経路構築からネットワーク侵入など、物理からサイバーまで一気通貫で不正侵入リスクを可視化するペネトレーションテストで、リリースに先立ち、あおぞら銀行で実施。技術的な脆弱性に加え、人的・運用面の対応力も含めた多面的な評価を行うなど同行のサイバーセキュリティや物理セキュリティの強化に貢献している。
-
サービスのイメージ(ALSOK資料より)
金融分野におけるサイバーセキュリティに関するガイドライン(金融庁Webサイトより)
サービス開発の背景には、金融業界のセキュリティに対する意識の高まりがある。厳格なセキュリティ運営が求められる分野のひとつが金融業界だが、金融庁が発行する「金融分野におけるサイバーセキュリティに関するガイドライン」では脆弱性診断とともにペネトレーションテストの定期的な実施を推奨し、金融業界における情報システムの安全対策やシステム監査の基準策定、普及を担う公益財団法人である金融情報システムセンター(FISC:The Center for Financial Industry Information Systems)の「金融機関等コンピュータシステムの安全対策基準・解説書」(第13版)でも3月に改訂を実施している。
