2025年7月29日、セキュリティサービス企業の「綜合警備保障株式会社(ALSOK)」と、GMOインターネットグループのサイバーセキュリティ専門企業「GMOサイバーセキュリティ byイエラエ」社)が、共同で新たなセキュリティ診断サービスを開始。
このサービスは「ALSOK & GMO サイバー物理ペネトレーションテスト」として提供を開始され、物理的な侵入からサイバー攻撃までを一貫して検証して、企業のセキュリティリスクを可視化するというもの。
巧妙化するサイバー攻撃への対策
サイバー攻撃の激化に伴い、実際の攻撃手法を模擬的に試す「脅威ベースのペネトレーションテスト(TLPT:Threat-Led Penetration Testing)」が注目されている。
TLPTは、システムや施設が攻撃に耐えられるかを検証するテストで、特に金融庁のガイドラインや金融情報システムセンター(FISC)の基準により、2025年3月から物理的なセキュリティも検証対象となることが明記された。
これを受け、大手金融機関を中心に需要が高まっている状況にある。
この新サービスでは、ALSOKの長年にわたる物理セキュリティのノウハウと、GMOサイバーセキュリティ byイエラエの高度なサイバーセキュリティ技術を組み合わせ、以下のような特徴を持つ。
1.現実的な攻撃シナリオに基づく検証
実際のサイバー犯罪で使われる手法、例えばオフィスに不正に機器を持ち込んで内部ネットワークに接続する「DarkVishnya」攻撃をモデルに、企業ごとの脅威に応じた診断を行う。
2.物理とサイバーの統合的な診断
建物の侵入から内部ネットワークへのアクセス、さらにはネットワーク侵入後の攻撃達成可能性までを検証。必要に応じて、盗聴器の探索や特定の拠点での脆弱性診断も行う。
3.柔軟な診断範囲
企業のニーズに合わせて、物理侵入やネットワークに限定した診断も可能。柔軟な対応で、企業ごとの課題に対応する。
4.セキュリティ対策の可視化
テストを受けた企業には「ステッカー」が発行され、セキュリティ対策の取り組みを対外的に示すことができる。
なお、サービス開発には、物理ペネトレーションテストの専門企業であるBarrierCrack合同会社(東京都渋谷区)も技術提供で協力している。
実際の導入事例と今後
サービス開始に先立ち、千代田区の金融機関「あおぞら銀行」がこのテストを導入。
経営陣の主導のもと、実際の攻撃を模したシナリオで物理的侵入やサイバー攻撃のリスクを検証した。
事前通知なしのテストにより、技術面だけでなく、人的・運用面の課題も明確化。
検出された問題に対して迅速な改善策が講じられ、セキュリティの強化が図られた。
ALSOKは創業60周年を機にブランドを刷新し、本サービスを新たな取り組みの第一弾として位置づけている。
一方、GMOサイバーセキュリティ byイエラエは、GMOインターネットグループの「ネットのセキュリティもGMO」プロジェクトの一環として本サービスを提供。
両社は、物理とサイバーの両面から企業を守ることで、より安全な社会の実現を目指すとしている。