物理セキュリティ
×
サイバーセキュリティ対応支援
(物理侵入を想定したリスク評価・対応支援)
物理セキュリティ
×サイバーセキュリティ
(物理侵入を想定したリスク評価・対応支援)
近年、加速度的に重要度を増すサイバー攻撃への対応において、物理侵入を想定したセキュリティ環境構築の重要性が増しています。2025年6月に発出された金融庁『金融分野におけるITレジリエンスに関する分析レポート』でも物理侵入を想定した内容が盛り込まれ、我が国としても物理セキュリティの強化が推進されると想定されます。
物理侵入による攻撃活動は、例えば、本社社屋や重要施設への侵入、侵入時のソーシャル・エンジニアリング、侵入後にBadUSBやむき出しのLANポートを通じたネットワーク侵入、不審機器の設置など多岐に渡ります。
当社は、世界最大級のセキュリティ企業との連携により、グローバル基準の物理セキュリティを根拠に、物理侵入および人的脆弱性を突く攻撃活動を想定したサイバー攻撃およびサボタージュ(簡易的破壊活動)を想定した攻撃シナリオに基づくリスク評価に関する多くの実績を誇ります。
01
保護対象整理
リスク評価はやみくもに行っても無駄な労力を割いていしまうだけです。
自社にとって守るべき資産(データ・モノ・ヒト)を特定し、その重要性や事業インパクト、サイバー攻撃における中継点(橋頭保)となる危険性を評価し、標的とされうる対象を整理します。
また、当該対象のセキュリティ環境に関する公開情報調査を行い、脅威主体(アクター)がどれだけ情報を集められるかも試行します。
02
リスクシナリオの策定
保護対象=標的となりうる資産を整理したのち、企業の業種や国際環境を鑑み、簡易的な脅威評価(Threat Intelligence)を行い、脅威主体の意図・能力・機会の3軸で評価し、個社ごとに徹底的にカスタマイズした攻撃シナリオを策定します。
<攻撃シナリオ分類例>
ソーシャル・エンジニアリングによる侵入
受付担当者や警備担当者などに対するソーシャル・エンジニアリングを用いた物理侵入およびネットワーク侵入に関するリスクシナリオ
※ソーシャル・エンジニアリングに特化したペネトレーションテスト(Social Strike)もご提供可能ですので、お問い合わせください。
基本的な物理的侵入
ゲートの乗り越え、フェンスの破壊、テールゲーティングやセキュリティカードのエミュレート、IDカードの模造などの手法による物理侵入に関するリスクシナリオ
サイバー関連活動
パブリックゾーンにおけるむき出しのLANポートや端末の窃取を経由したネットワーク侵入、不審機器の設置など多岐に渡るリスクシナリオ
サボタージュ(簡易的破壊活動)
フェンスへの穴開けや防犯カメラの破壊、ドローンによる屋上変電設備への攻撃、サーバールームへの粉塵の流し込み、電源設備における漏水事故の偽装など多岐に渡るリスクシナリオ
03
リスク評価
ハレーションリスクを徹底的に抑え、安全な手法で評価すべく、ペネトレーションテスト形式ではなく、実査および関連部門へのインタビューによりリスク評価を行います。
(ご要望に応じ、ソーシャル・エンジニアリング/物理侵入のペネトレーションテストもご提供可能)
グローバル基準の物理セキュリティ基準を念頭に、体制、教育、運用、技術的対応など多岐に渡るリスク評価を行います。
ご要望に応じ、天井がフリーパネルか、防犯カメラの電源ケーブルが切断可能か、ダクトが容易に破壊できるか、侵入を検知してから何分で現場まで到着できるか、など細かい観点でのリスク評価を行っています。
このリスク評価により、実際に物理セキュリティ戦略の欠陥や物理・サイバーセキュリティ担当間との連携不足など、俯瞰した視点での脆弱性まで明らかになっています。
対策策定支援
04
リスク評価に基づき、物理侵入および人的脆弱性を突く攻撃活動への対策策定支援を行います。これまでの実績から、領域横断型の施策が必要になることから、ワーキンググループの運営や指標となるセキュリティガイドラインの策定などをご支援します。また、物理セキュリティにおける警備面の運用修正や受付担当者への教育・訓練設計などもご支援しています。
よくある質問
Q1
実際に攻撃されてしまうの?
物理×サイバーセキュリティのリスク評価では、実際にペネトレーションテスト方式を取らずに、安全かつハレーションリスクを徹底的に抑えた手法(実査とインタビュー)により行います。よって、実際に攻撃を仕掛けるのではなく、事情を説明した上で、安全な手法でリスク評価が可能となります。
また、クライアント様のご要望に応じ、ソーシャル・エンジニアリングおよび物理侵入によるペネトレーションテストを行うことも可能です。
Q2
システムへの侵入まで行うの?
実際にネットワーク侵入が出来るかまでは実施しないことを基本とし、クライアント様が設定したゴールに応じた手法が実施されます。
ただし、クライアント様がシステムへの侵入までをご要望する場合は対応することも可能です。
Q3
どのくらいの期間がかかるの?
クライアント様とのゴール設定によりますが、準備期間を含め概ね以下の通りです。また、クライアント様のご要望に応じ、実現可能な範囲で調整が可能です。
・実査・インタビューによるリスク評価:約1.5ヵ月~(1拠点)
※複数拠点の場合、必要期間は単純に倍とならず、追加1拠点当たり2週間ほどでリスク評価が可能となります。
・対応策の策定支援:TBD(リスク評価の結果により変動)
なぜ物理セキュリティ対策が
必要なのか?
技術的対策だけでは防げない可能性
技術的なセキュリティソリューションでは防げない物理的侵害の手法が存在し、実際に被害が発生しています。
物理侵入による攻撃手法の拡大
物理侵入を許すことにより、侵入後の攻撃手法が各段に増え、対応策に欠陥があるケースが散見されます。
物理×サイバーセキュリティの連携不足
物理セキュリティとサイバーセキュリティは主管を分け、効率的に対処を進めているのが通常です。しかし、インシデントを想定した場合、連携不足も想定されるほか、多岐に渡る攻撃活動を想定した場合、事前のセキュリティ環境の設計から連携する必要があります。
当社の物理×サイバーセキュリティ対応支援は、クライアント様の保護対象資産と脅威評価を丁寧に行った上で、攻撃シナリオを通じて、実査・インタビューによる安全な手法により脆弱性を可視化し、その対策を効果的に策定する類例のない唯一無二のソリューションです。