ランサムウェア攻撃を「事前に試し」「本番環境で防ぐ」セキュリティアプローチ

このブログでは近年増加傾向にあるランサムウェアの対策アプローチとして、Pentera（事前のセキュリティ検証）とSentinel One（侵入後対策）を組み合わせた方法をご紹介します。

近年、ランサムウェア攻撃は企業規模や業種を問わず深刻な経営リスクとなっています。
「EDRを導入しているから安全」「対策はしているつもり」
——本当にそう言い切れるでしょうか？

本記事では、攻撃者の視点で侵入を試みる Pentera と、実際のマルウェアを検知・ブロックする Sentinel One を組み合わせたデモ動画をもとに、“攻撃を試し、ランサムウェアによる攻撃を防げていることを確認する” という実践的なセキュリティ対策をご紹介します。

ランサムウェア対策における2つの課題

システム管理者の視点

• 現在のセキュリティ対策が本当に機能するか分からない
• ペネトレーションテストは高コスト・低頻度
• インシデントは「起きてから」対応するケースが多い

経営者の視点

• サイバー攻撃による事業停止・信用失墜・金銭的損失
• セキュリティ投資の効果が見えにくい
• 「守ることができている」という客観的な根拠が欲しい

これらの課題に対する1つの答えが、Pentera ×EDR（事前対策 × 侵入後対策）を組み合わせた対策です。

今回はEDRとして、Sentinel Oneを採用しています。

自動ペネトレーションテストツールPenteraとは？

攻撃者目線で“自社の弱点”を自動的に検証するプラットフォーム

Pentera は、企業のIT環境に対して実際の攻撃手法を自動で実行し、侵入可能性や被害範囲を可視化するセキュリティ検証プラットフォームです。

主な特徴

• リアルな攻撃者を模した自動ペネトレーションテスト
• Active Directory、エンドポイント、ネットワーク全体を横断的に検証
• ランサムウェア攻撃を含む実践的な攻撃シナリオを再現
• 結果をリスクベースで可視化し、優先度付けが可能

「実際に攻撃される前に、攻撃検証を行いどの程度の被害が発生するかを知る」それがPenteraの価値です。

自律型エンドポイントセキュリティSentinel Oneとは？

AIでエンドポイントをリアルタイムに防御するEDR/XDR

Sentinel  One は、AIを活用した次世代エンドポイントセキュリティ（EDR/XDR）製品です。

主な特徴

• ファイルレス攻撃や未知のマルウェアも検知
• ふるまい検知によるブロック機能
• 自動修復（ロールバック）機能による暗号化ファイルの復元

「侵入後の被害拡大を防ぐ最後の砦」それがSentinel Oneです。

動画デモの内容紹介

Penteraによるランサムウェア攻撃シミュレーション × Sentinel Oneの防御

今回の動画では、以下の流れを確認できます。

① Penteraの設定（攻撃シナリオの準備）

最初に、Penteraの管理画面上で攻撃シナリオの設定を行います。

Penteraで検証可能な攻撃シナリオはこちらで紹介しております。
今回は対象となる環境や攻撃タイプを指定し、ランサムウェア攻撃の検証シナリオを設定します。

② Penteraによるランサムウェア攻撃の実行

設定完了後、Penteraがランサムウェア攻撃シナリオを実行します。
攻撃者が侵入後に行う一連の挙動を再現し、エンドポイント上でPenteraによる無害なランサムウェアが動作します。

ここでは、「もし実際の攻撃者だったら、ここまで到達できてしまう」という現実的なリスクを可視化します。

③ 攻撃結果の確認（Pentera側）

攻撃実行後、Penteraの画面上で攻撃結果を確認します。

• 攻撃がどこまで進んだのか
• どの段階で阻止されたのか
• 本来であればどのような被害が想定されるのか

といった内容が整理され、環境の強みと弱みが明確になります。

④ Sentinel  Oneによる防御・検知の確認

次に、検知モード・防御モードで動作しているSentinel One導入端末の状態を確認します。
検知モードではランサムウェア特有の挙動をSentinel Oneが正確に検知し、管理コンソール上にアラートとして表示されていることが分かります。

• どのプロセスが検知されたのか
• どのような挙動がリスクと判断されたのか

を具体的に確認でき、EDRが正しく機能していることを証明します。

防御モードではランサムウェアをSentinel Oneが正確に検知し、攻撃を防ぐことができてい様子を確認することが可能です。

防御モードではランサムウェアは動作をする前に駆除する動作を行うため、ランサムウェアどういった挙動を行うのかという情報は記録されません。

なぜEDRだけではなくPenteraが必要なのか

システム管理者にとって

• セキュリティ対策を実証ベースで確認できる
• 改善ポイントが明確になり、対策の優先順位を付けられる
• 定期的・自動的な検証が可能
• 自社のセキュリティ対策の有効性の可視化

経営者にとって

• 「守れている」という事実をデモとレポートで説明可能
• セキュリティ投資の費用対効果が可視化
• インシデント発生リスクを事前に低減
• BCPの策定・見直しに利用することが可能

まとめ

“攻撃される前提”の時代に必要なセキュリティ

• Pentera：攻撃者の視点で「本当に危ないポイント」を洗い出す
• Sentinel One：実際の攻撃をリアルタイムで確実に止める

この2つを組み合わせることで、「試す → 防ぐ → 証明する」という、CTEMの考え方に基づいたこれからのセキュリティ対策に不可欠なサイクルが実現することが可能です。