物理ペネトレーションテスト

物理×サイバーのリスク評価

【80秒でわかる】物理ペネトレーションテストとは

セキュリティの「死角」

サイバー攻撃の起点は、デジタルの世界だけではありません。

物理的なアプローチが用いられたサイバー攻撃の被害は実際に世界中で発生しています。
強化されたネットワークの境界防御を突破するより、1つの扉を通過する方がはるかに簡単なのです。

Stuxnet

核関連施設に物理的に侵入した工作員が仕掛けたUSBドライブから、施設内機器がマルウェアに感染し、多数の設備が破損。その影響で核開発計画に遅延が発生したとされる。

海外金融機関の被害

金融機関に対する物理的な侵入により、内部ネットワークが侵害され巨額の被害が出たとされる事例や、物理侵入後に設置されたKVMを介して不正送金が行われたとされる事例が発生している。

国内の被害

国立大学大学院や民間企業などに対して物理的な侵入が行われ、USBドライブで情報が持ち出された事例が近年にも複数発生している。

約6億円

($4,190,000)

物理的なセキュリティの侵害によるデータ侵害被害を受けた場合に必要となる平均コスト。
物理ペネトレーションテストにより、これだけの被害を受けるリスクを効果的に低減することができます。

*IBM 2024年データ侵害のコストに関する調査

対策の有効性を迅速に評価

セキュリティ対策は、ただ実装しただけでは不十分です。
専門家が攻撃者の視点でテストし、セキュリティ対策の「期待と現実のギャップ」を検出します。

BarrierCrackの物理ペネトレーションテスト

BarrierCrackの物理ペネトレーションテストは、攻撃者の思考と技術を用いた実践的なセキュリティ評価を行うサービスです。
お客様の拠点への物理的な侵入と、さらには内部ネットワークへの侵入を試みる過程で検出されたセキュリティ上の課題や改善案をご報告します。

実施するコンサルタントには、法律や契約を遵守しながら、お客様の業務影響に十分配慮し、物理セキュリティとサイバーセキュリティの両方の侵入活動を効果的に実施するための広範な知見と実務経験が求められます。

BarrierCrackの物理ペネトレーションテストでは、日本企業に対する物理ペネトレーションテストの豊富な経験を持つコンサルタントがプロジェクトを担当します。

経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク」を活用して、工場の重要区画のセキュリティ対策状況を安全に調査し、顕在化し得る脅威や経営リスクを分析するオプションの提供実績もございます。

テストで明らかになったセキュリティ課題の例：

守衛所の運用の隙を突いて第三者が侵入できる状態だった。
ピッキング耐性の低い錠が使われている、あるいは退出用のボタンやセンサー等を外部から反応させるなどして開扉できる状態だった。
外部業者用の出入口が不適切な運用をされており、容易に侵入できる状態だった。
入退管理システムの脆弱性により、セキュリティゲートを通過できる状態だった。
USBドライブの利用制限を回避して、マルウェア感染や情報持ち出しができる状態だった。
不正端末の接続対策を行っていたが、容易に回避して社外PCが社内ネットワークに参加できる状態だった。

1

無料個別相談

「物理ペネトレーションテストについて詳しく知りたい」という方に向けて、1時間程度の無料相談を受け付けております。

無料相談では、物理ペネトレーションテストの目的や実施内容、準備事項、注意事項などについて詳しくご説明させていただきます。テスト対象としたいビジネス拠点、特に調査してほしい観点、お見積りのご希望などがありましたら、その場でご相談を承ります。

無料相談をご希望の場合、お問い合わせフォームからお気軽にご連絡ください。

2

計画・準備

ヒアリングを実施し、具体的なスコープやスケジュール、実施内容、禁止事項等を擦り合わせます。また、テストの実施に向け、必要な準備を行います。

ご契約後、テスト開始日の概ね2週間前までに計画を確定し、準備に取り掛かります。

3

実行

計画に沿ってテストを実施し、物理セキュリティとサイバーセキュリティのリスクを調査します。

実施期間は対象拠点の性質等によって異なりますが、1拠点あたり概ね2～5営業日となります。

4

報告

テスト終了後、5～10営業日ほどでPDF形式のレポートをお送りします。報告会の実施も可能です。

資料請求・お問い合わせ