サイバーセキュリティ

TLPT（脅威ベースのペネトレーションテスト）サービス

構築・策定訓練・演習研修評価・モニタリング・監査改善アドバイザリ認証取得・準拠プライバシー保護セキュリティ診断管理ツールグローバル金融

TLPT（脅威ベースのペネトレーションテスト）とは

TLPT（Threat-Led Penetration Test）とは、実際の攻撃者が用いる高度な手法や脅威に基づいた攻撃シナリオを使用するセキュリティテストです。疑似サイバー攻撃を通じて組織の防御力・検知力・対応力を総合的に評価し、課題の明確化とセキュリティレベル向上に繋げるサービスです。

ペネトレーションテストとの違い

ペネトレーションテストは、攻撃者視点で侵入が可能かどうかを評価する手法ですが、TLPTではそれに加えて、検知や対応といった防御側の能力も含め、セキュリティ対策の有効性を総合的に評価します。実際の攻撃者の戦術や手法（TTPs：Tactics, Techniques, and Procedures 、戦術・技術・手順）に基づき、現実的な脅威シナリオを用いて侵入を試み、攻撃発生時に組織が迅速かつ適切に対応できるかどうかまで確認することで、実践的なサイバー攻撃耐性の向上に繋げていただくことができます。

項目	ペネトレーションテスト	TLPT（脅威ベースのペネトレーションテスト）
目的	既知の脆弱性を悪用し、攻撃者の視点でシステムのセキュリティ対策の実効性を評価	従来のペネトレーションテストによるセキュリティ対策の有効性に加え、防御側の対応能力も評価
方法	事前に定義された攻撃シナリオに基づき、実際にシステムへの侵入を試行	対象企業の脅威を分析し、分析結果に基づいた攻撃シナリオを作成し、実際にシステムへの侵入を試行
対象範囲	サーバー、ネットワーク機器、Webアプリケーションなどシステムを構成する要素	システムを構成する要素に加え、人、組織、プロセスを含む運用全体
発見できること	実際に攻撃が成功するかどうか、侵入経路、影響範囲、セキュリティ対策の有効性を確認することが可能	導入しているセキュリティ製品の有効性に加え、CSIRTやSOCによる対応などの人的対応についても評価することが可能
実施体制	主にホワイトハッカーが実施	レッドチーム（ホワイトハッカー）、ブルーチーム（CSIRT、SOCなど）、ホワイトチーム（運営、評価）

このようなお客様におすすめします

本サービスは、以下のようなお客様におすすめします。

定期的にペネトレーションテストや脆弱性診断を実施しているが、実際のサイバー攻撃に対して組織がどれだけ防御・対応できるか確認したい
様々なセキュリティ対策を実施しているが、防御側の対応力や運用面に抜けがないか総合的に評価したい
PCI-DSSなどの認証取得に向けて、攻撃シナリオに基づいた実践的なテストを実施したい

サービスの特長

1. お客様の課題に最も適したテストシナリオを提案: 当社は業界ごとの脅威トレンド、最新の攻撃手法、過去事例をもとに、具体的な脅威シナリオを作成します。例えば「巧妙な標的型フィッシングで認証情報を窃取→正規端末を踏み台に社内ネットワークで横展開→機密データの抽出を狙う」といった一連の攻撃ストーリーを描き、そこから想定される侵入経路、攻撃者の目的、成功条件を明確化します。検討した脅威シナリオに沿って、攻撃者視点で最適なテストシナリオを設計・実行し、実際に同様の経路で侵入が成立するか、検知・封止をどの時点で行えるかを検証します。シナリオはお客様の業務実態やご要望に合わせて柔軟にカスタマイズ可能です。
2. 実際の攻撃者と同じ手法を用いて、疑似攻撃を実施: MITRE ATT&CK®フレームワークを活用し、実際の攻撃者が用いる手法・経路を再現してテストを行います。公的資格を持つホワイトハッカーが診断を実施し、シナリオに沿った疑似攻撃を通じて、組織の防御・検知・対応能力を総合的に評価します。
3. 経営・事業インパクト重視の評価と改善提案: テスト結果を基に、サイバー攻撃による経営への影響（収益・信用リスクなど）を明示し、対策の優先順位付けを支援します。さらに、事業目標や経営戦略に連動した改善ロードマップを策定し、投資対効果の高いセキュリティ対策をご提案します。経営層への説明にあたっては、専門用語を排し、リスクを事業インパクトと紐づけて解説することで、経営層のセキュリティの理解とコミットメントを促進します。

サービスのイメージ

本サービスは、実戦的な「TLPT（脅威ベースのペネトレーションテスト）」を包括的に支援します。

支援範囲とステップ（例）

下図はTLPT（Threat-Led Penetration Test）サービスの一般的な流れです。お客様のご要望に応じて支援範囲をカスタマイズできます。
例えば、汎用的な脅威シナリオを活用してシナリオ作成期間を短縮し、そのうえで攻撃シナリオの策定、疑似攻撃の実施、課題抽出および改善提案までを中心に支援することも可能です。

主な成果物（例）

#	支援名	成果物
1	ホワイトチームサポート支援	プロジェクト実施計画書（案）
2		スコープ仕様（案）
3		トップインタビュー議事録
4	脅威シナリオ作成支援	脅威インテリジェンス導出結果資料
5		攻撃シナリオ仕様（案）
6		リスク管理計画（案）
7	レッドチームサポート支援	テスト詳細計画
8	レッドチームサポート支援	テスト結果報告書
9	ホワイトチームサポート支援	サイバーレジリエンス評価報告書（案）
10	全支援共有	プロジェクト結果報告書
11	全支援	改善計画書、議事録など

成果物については、支援内容に応じて異なります。基本的には、FISC（金融情報システムセンター）が公開している「金融機関におけるTLPT実施にあたっての手引書」※に準拠した成果物を作成し、納品します。しかし、我々がご提供する価値はそのガイドライン準拠に留まりません。当社が数多くのインシデント対応現場で培ってきた、最新の攻撃（TTPs）に関する独自の知見を報告書に反映させます。

これにより、単なる技術的な脆弱性の列挙ではなく、検知から対応プロセスにおける具体的なボトルネックを特定、そのリスクが経営（収益・信用リスク）に与える事業インパクトを明示し、実効性の高い対策の優先順位付けを支援します。

さらに、お客様の事業目標に基づき、投資対効果の高い改善ロードマップを策定。専門用語を排し、リスクを事業インパクトと紐づけて解説することで、経営層の深いご理解とセキュリティ強化へのコミットメントを促進する、”次につながる”報告をご提供します。

※「金融機関等におけるTLPT実施にあたっての手引書」
https://www.fisc.or.jp/publication/book/004197.php

サービス概要

TLPT（脅威ベースのペネトレーションテスト）サービス

概要	実際のサイバー攻撃の脅威に基づいたシナリオを用いて、組織のセキュリティ対策全体（システム、人、プロセス）が攻撃をどれだけ防げるかを総合的に評価するサービスです。
対象企業	システムだけでなく体制などのガバナンス面も評価し、サイバー攻撃への耐性（サイバーレジリエンス）を高めたいお客様
期間	応相談
価格	応相談
成果物	プロジェクト実施計画書（案）スコープ仕様（案）トップインタビュー議事録脅威インテリジェンス導出結果資料攻撃シナリオ仕様（案）リスク管理計画（案）テスト詳細計画テスト結果報告書サイバーレジリエンス評価報告書（案）プロジェクト結果報告書改善計画書、議事録など