ImmuniWeb ®︎TLPT

Decrypt the history. Encrypt the future.

immuniweb-ai

TLPT|脅威ベースのペネトレーションテスト

ImmuniWebは2007年の創業以来、欧米の金融機関や国際機構に対して、脅威ベースのペネトレーションテスト(TLPT)を提供してきました。ImmuniWeb®︎Discovery、ImmuniWeb®︎On-Demand、ImmuniWeb®︎MobileSuite、ImmuniWeb®︎Continuousの製品群は、TLPTの各工程を製品パッケージ化しています。

TLPTの3段工程

Threat-Led Penetraion Testing(TLPT)は脅威ベースのペネトレーションテストとも呼ばれ、欧米の金融機関が経営上のサイバーセキュリティリスクを可視化するために導入されたフレームワークです。TLPTは主に3工程に分かれます。

偵察

インターネットおよびダークウェブからAIで情報を収集します。

侵入

発見されたアプリケーションやネットワークから侵入を試みます。

報告

発見された脆弱性や侵入手法についてレポーティングを実施します。

FedRamp_penetration_test

米国政府機関におけるクラウドセキュリティ認証制度であるFedRAMPによると、企業の侵入ベクトルは次の5つに分類できます。
1.Web Application/Application Program Interface (API)
2.Mobile Application
3.Network
4.SocialEngineering
5.Simulated Internal Attack Vectors

ImmuniWeb®︎|TLPTの自動化

ImmuniWeb®︎はTLPTの工程を、AIと機械学習により自動化しています。

ImmuniWeb Discovery
immuniweb-discovery1

TLPT第一工程

TLPTの第一工程である偵察について、ImmuniWeb®︎Discoveryが企業名をキーワードとして、インターネットから250種類以上のデジタルアセットを発見。2500種類のダークウェブ・ディープウェブチャンネルからのデータを複合し、1000種類のコンプライアンス・セキュリティ脆弱性の洗い出しをわずか数日で完了させます。

immuniweb-ondemand1

TLPT第二工程

TLPTの第二工程である侵入検査については、ImmuniWeb®︎ Discoveryで優先順位を決定したのち、WEBアプリケーションに関してはImmuniWeb®︎On-Demand、モバイルアプリケーションとバックエンドについてはImmuniWeb®︎MobileSuiteにより自動化されたテストを提供します。

immuniweb-ondemand2

TLPT第三工程

TLPTの第三工程であるレポーティングについては、CWE/CVE/CVSS/OWASP ASVS/PCIDSS/GDPRなどの国際規格に則った報告が自動化されています。

TLPT後のモニタリング

TLPTの一連の工程が完了し、企業内システムのセキュリティの現状を把握した後は、継続的なモニタリングを実施します。(ImmuniWeb®︎Continuous)

immuniweb-continuous

ImmuniWeb®︎|TLPT

価格 120万円(税抜)〜
WEBアプリ診断、モバイルアプリ診断、クラウドプラットフォーム診断、NIST SP800体制評価の複合テスト
脅威ベースのペネトレーションテスト(TLPT)は従来6ヶ月以上、数千万円程度費用がかかってしまう性質のプロジェクトでしたが、AIや機械学習による自動化ソリューションの登場により、合理的で迅速なプロジェクト推進が実現可能となりました。

immuniweb-discovery-logo

ImmuniWeb®︎
Discovery

詳細はこちら
immuniweb-ondemand-logo

ImmuniWeb®︎
On-Demand

詳細はこちら
immuniweb-mobilesuite-logo

ImmuniWeb®︎
MobileSuite

詳細はこちら
immuniweb-continuous-logo

ImmuniWeb®︎
Continuous

詳細はこちら
Vulnerability consensus

コンセンサスチェック

迅速で信頼性の高い診断結果を獲得するために、ImmuniWeb®︎と他社商用ツールをダブルチェック運用するオプションプランです。

脆弱性診断ツールの例

VEX、Qualys、HCL Appscan、Nessus、BurpSuite、BeyondSecurity、Metasploit、Kali Linux、VAddy、Cobaltstrike

TLPT&オンサイト診断

リモートベースのTLPTに加えて、セキュリティスペシャリストが現地訪問。2-4営業日で社内のITインフラストラクチャの侵入テストおよび水平展開、権限昇格テストを実施します。

ethicalhacking
iso-iec27001

TLPT&ISO/IEC 27001

TLPTを実施し、企業のサイバーリスク評価をしたのちに、ISO27001の体制構築を実施します。

TLPT&NIST SP800-171

TLPTに付随して、企業のリスク評価を実施する際にNIST SP800-171をベースとした体制監査を実施します。

NISTSP800-171Checklist
CyberInsurance

TLPT&サイバー保険

TLPTを組み合わせたサイバーリスク監査の結果をもとに相応しいサイバー保険を設計・検討します。(国内および英米系サイバー保険大手の紹介)