ラックは、1995年に日本で初めてセキュリティ診断サービスの提供を開始した当初から、外部から疑似攻撃を仕掛けるペネトレーションテストを手掛けてきたという。通常、ペネトレーションテストは、自社のセキュリティ対策が適切になされているかを確認するため、経営者や内部監査人がセキュリティの専門家などに依頼して実施するものだ。
日本では、経営者が第三者に現場をチェックさせるといった土壌がそもそもなく、ラックのペネトレーションテストに対するニーズも、サイバー攻撃に遭って実害を被った企業などごく一部に限られていたという。
しかし、最近の社会状況の変化を受け、金融機関をはじめ大手企業を中心にペネトレーションテストに対するニーズが急拡大していることから、このたび、これまで個別に対応していた「レッドチーム演習」と呼ばれる侵入を中心とした総合的セキュリティサービスを「ペネトレーションテスト」として正式にサービス提供するという。
このサービスでは、ラックのセキュリティ技術者が、攻撃者と同様の手法でインターネットを介して企業の社内ネットワークや公開ネットワークに疑似攻撃を仕掛ける。具体的には、検索サイトやSNSなどの公開情報からメールアドレスを特定し、標的型攻撃メールを送付する。
また、公開サーバや通信機器の脆弱性を調べ、ネットワーク経由で疑似攻撃を仕掛ける場合もある。こうした攻撃によって社内への侵入が成功した場合には、侵入箇所から他の端末へ侵入し、感染拡大、内部情報の外部持出などを試み、発生し得る被害をシナリオに応じて確認し、報告書にまとめる。
