物理セキュリティテスト🔗

サービス概要🔗

Secureworksは、お客様の組織における物理的な防御および監視体制をテストします。本サービスは、エスコート型とカバート型の2種類をご用意しています。専門の物理ペネトレーションテスターが、お客様組織の建物の物理的な境界に脆弱性がないかを評価し、脆弱性を悪用し、建物内の1か所以上（サーバークローゼット、機密性の高いオフィスエリアなど）へのアクセスを試みます。

サービス手法🔗

Secureworksの物理ペネトレーションテストは、業界のベストプラクティスに基づき、実際の現場経験やベテランの専門知識を取り入れた独自の手法に根ざしています。Secureworksはお客様と密接に連携し、評価の目的を決定します。テスト前には、ルールの策定、連絡先、スコープ、リスク受容、レポート要件、テストのタイムラインやスケジュールを確定するためのキックオフコールを実施します。

ペネトレーションテスト中に実施されるアクティビティは、お客様の業種、建物の規模、場所によって大きくカスタマイズ可能です。ただし、カバート型のエンゲージメントでは、通常以下のアクティビティが含まれます。

オープンソース情報収集🔗

対象組織に関する情報の収集（例）:
- 建物の所在地
- フロアプラン
- 近隣施設
主要な担当者やサードパーティ業者の特定
ソーシャルメディア上に公開されている機密データの検索（例：バッジが写った従業員の写真）

現地での偵察🔗

対象場所を訪問し、従業員の行動パターンや動線など、より詳細な情報を収集
セキュリティ対策、出入口、監視システム、潜在的な侵入ポイントの特定

従業員や関係者と接触し、非技術的な手段で追加情報を収集
公共エリアで従業員の後を追い、RFIDバッジのキャプチャ／クローンを実施

物理的アクセスの試行🔗

テイルゲーティングやメンテナンス作業員を装うなど、さまざまな手法で無許可の建物侵入を試行
アンダー・ザ・ドアツール、ピッキングツール、クローンRFIDバッジなどを用いて、無許可の物理的アクセスを防止するセキュリティコントロールの有効性を評価

インサイダー脅威シミュレーション🔗

制限区域へのアクセス試行
デスク上のデータを調査し、付箋に書かれたパスワードや重要な業務／顧客データなどの機密データを特定
ドロップボックスを用いた内部ネットワークへのアクセスにより、依頼されたデジタル目標を達成

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートとしてお客様に提供されます。レポートには以下が含まれます。

エグゼクティブサマリー
手法、詳細な発見事項、ナラティブ、および必要に応じた推奨事項
関連する詳細や補足データのための添付資料

加えて、エンゲージメント最終日には、現地でのライブ報告会も実施可能です。

スコーピング情報🔗

スコープ

説明

物理ペネトレーションテスト

1つの物理的な拠点／建物。

このシナリオは、セキュリティチームに事前通知せず、外部脅威が建物に密かに侵入する状況をシミュレートします。目的には、Cレベルフロアへの物理的アクセス、機密物理データの抽出、内部ネットワークへのドロップボックス設置によるリモートアクセスの確立などが含まれます。物理セキュリティ監査とは異なり、本シミュレーションでは従業員とのやり取りやソーシャルエンジニアリング技術を用いて、外部脅威に対する全体的なセキュリティ体制を評価する場合があります。

制限事項🔗

物理的なソーシャルエンジニアリングの特性上、追加のスコーピングが必要となります。これには、Secureworks物理セキュリティテストチームのメンバーとのスコーピングテレカンファレンス、およびお客様とSecureworks双方のための追加の法的保護が含まれます。