アイキャッチ_58809 ペネトレーションテストとは?脆弱性診断との違いややり方を解説.png のコピー

ペネトレーションテストとは?脆弱性診断との違いややり方を解説

ITシステムやネットワークなどに脆弱性があると、サイバー攻撃の対象となりかねません。システムのセキュリティに懸念があるのなら、ペネトレーションテストの実施が有効です。本記事では、ペネトレーションテストの基礎知識や脆弱性診断との違い、具体的なやり方などについて解説します。実施によって得られるメリットや取り組み方を把握し、この機会にぜひ取り入れてみましょう。

 

ペネトレーションテストとは?

ペネトレーションテストとは、システムへ意図的に攻撃、侵入しセキュリティ能力を検証するテストです。ペネトレーション(penetration)は、侵入や貫通を意味する英単語であり、このことからペネトレーションテストは侵入テストとも呼ばれます。

システムに存在する特定の脆弱性や、攻撃を受けたときの被害レベルを把握するために行われるテストです。シナリオに基づきシステムへの侵入を試みるため、実施する際には専門の技術者が担当します。

なお、テストの調査対象は検証内容によって異なります。これは、悪意をもつ攻撃者が求める結果を出せるかどうか、テストによって確認するためです。

 

・ペネトレーションテストと脆弱性診断との違い

ITシステムなどのセキュリティをチェックする手法として、脆弱性診断が挙げられます。脆弱性診断とは、システム全体に存在する脆弱性を網羅するためのテストです。サイバー攻撃は、システムの脆弱性を狙ったものが多いため、どのような弱点があるのか把握し、適切な対策を行わなくてはなりません。脆弱性診断はそのために実施します。

脆弱性診断は、専門の技術者が行うこともあれば、ツールを利用するケースも少なくありません。診断によって、介在している脆弱性の特定や脅威レベルの設定、レポートへの記載などを行います。

ペネトレーションテストとの大きな違いは、目的と調査対象です。ペネトレーションテストの目的は、特定の脆弱性や被害レベルの抽出で、検証内容によって調査対象が変わります。一方、脆弱性診断はシステム全体が調査対象であり、侵入口となる脆弱性を網羅的に発見するのが目的です。

なお、目的に応じた脆弱性診断を実施したいのであれば、以下のサービスが適しています。

Cloudbric 脆弱性診断

Cloudbric脆弱性診断

 

ペネトレーションテストの種類

ペネトレーションテストは、大きく分けて内部テストと外部テストに分類されます。前者は、アプリケーションサーバやセキュリティシステムなど内部のシステム、後者は公開サーバや機器など、外部からアクセスできるシステムなどが対象です。

 

・内部ペネトレーションテスト

内部ペネトレーションテストは、アプリケーションサーバや認証サーバ、セキュリティシステム、DBサーバなど、外部とシャットアウトされた内部システムを調査対象としたテストです。これらは、外部からのアクセスが困難であるものの、攻撃の対象にならないわけではありません。

また、外部からの攻撃にしっかりと備えていても、すでに侵入されていた、内部に不正を働く者がいる、といった状況ではシステムを守り切れません。このような状況の回避や、ダメージ最小化を実現するためテストを行います。

 

・外部ペネトレーションテスト

外部ペネトレーションテストは、ネットワークを介して外部からアクセス可能な、公開サーバやシステム、機器などを対象に行うテストです。実際に専門の技術者が外部からシステムなどへ侵入を試み、脆弱性や被害レベルなどを可視化します。

外部からの代表的なサイバー攻撃と言えば、標的型メールが挙げられます。標的型メールとは、特定の対象をターゲットとしたメール攻撃です。主に、ターゲットとした組織が保有する重要な情報を盗むために用いられる手法で、マルウェアを仕込んだメールを添付して実行されるケースがほとんどです。

そのため、外部ペネトレーションテストでも、疑似マルウェアを用いて侵入を試みるテストがよく行われています。疑似マルウェアを添付したメールを送付し、侵入可能な領域などを抽出します。

 

ペネトレーションテストの手法

ペネトレーションテストには、ホワイトボックステストとブラックボックステストの2種類があります。双方に特徴があるほか、どちらを実施するかで費用が変わることも覚えておきましょう。

 

・ホワイトボックステスト

ホワイトボックステストは、システムの設計や仕様、ソースコードなどを共有して行われるテストです。すべてのロジックを対象にテストを行うため、表面化していない潜在的な脅威を検出できる可能性があります。

ホワイトボックステストを行う際、場合によっては思うような成果が得られないケースがあるため注意が必要です。当該テストは、システムの詳細設計書に基づき実施されます。そのため、詳細設計そのものに誤りがあると、正しく検証を行えず問題を抽出できません。

 

・ブラックボックステスト

ブラックボックステストは、システム情報を開示しないまま実施される侵入テストです。検証を実施する技術者に、システムの情報を何ひとつ教えないため、実際のサイバー攻撃に限りなく近いシチュエーションのもとテストを実施できる点が特徴です。

また、システム利用者の目線でテストを行えるため、システムの改善につながるヒントを得やすいのも魅力です。開発側では把握できていなかった、システムの使いにくさ、画面の見にくさなどに気づくきっかけとなりえます。

一方、システムの性能を評価するテストとしては優れていません。システムの設計や仕様といった情報を共有しないままテストを実施するためです。

 

ペネトレーションテストの手順

ペネトレーションテストを実施するには、まずシナリオを作成します。たとえば、「マルウェアが添付されたメールを従業員が開いてしまう」といった具合に、実際のサイバー攻撃を想定したシナリオを作成しましょう。

シナリオが完成したら、調査対象への攻撃を開始します。検査を行う技術者の技量によって、結果が大きく左右されることがあるため、その点に注意が必要です。

テストが終了したら、検証を担当した技術者や企業が報告書を作成し、提出します。外部に依頼する場合、報告は書面で渡されるだけのケースもあれば、結果内容について担当者が説明してくれることもあります。このあたりの対応は、依頼先によって異なるため、事前に確認しておきましょう。

 

まとめ

実際のサイバー攻撃を想定したペネトレーションテストの実施により、脆弱性の特定と適切な対策が可能です。各種システムのクラウド化が進む昨今では、クラウドセキュリティの重要性が高まっています。クラウドを含めたシステムの情報セキュリティに問題があると、機密情報の漏えいにつながり、社会的な信用を失いかねません。このような状況を回避するためにも、セキュリティ向上を実現できるペネトレーションテストの実施を検討してみましょう。

 

 

▼Cloudbirc 脆弱性診断の詳細はこちら

▼製品・サービスに関するお問い合わせはこちら

▼パートナー制度のお問い合わせはこちら

ITmedia Security Week 2023 夏

クラウドブリックとペンタセキュリティ、「ITmedia Security Week 2023 夏」にて、『サイバー被害を 横展開しない、セキュリティ戦略の3つのポイント』をテーマに講演

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年5月29日(月)~6月5日(月)に開催されるITmedia主催セミナー「ITmedia Security Week 2023 夏」にて、講演を行います。

ITmedia Security Week 2023 夏

・セミナー概要

セキュリティ事件・事故が多数報道される中、企業・組織のセキュリティ意識は着実に高まっています。ゼロトラスト/SASE、XDR、アタックサーフェスマネジメントなど、概念・ツール類も発展し、対策を高度化させる環境も整いつつあるといえるでしょう。しかし、今検討している対策やツール類は、本当に「自社にとって」必要、有効と言い切れるでしょうか。セキュリティ対策に限らず「最新=最善」ではありません。「ITmedia Security Week 2023 夏」では、多様な選択肢の中から貴社の目的・状況に対して「本当に必要な対策」を見出す視点を提供します。

  • 名称:ITmedia Security Week 2023 夏
    そのセキュリティ対策、「本当に」自社を守れますか?今持ち直すべき観点、見直すべき対策とは
  • 開催日時:2023年5月29日(月)~ 6月5日(月)
  • 形式:ライブ配信セミナー
  • 視聴参加費:無料(事前登録制)
  • 主催:@IT、ITmedia エンタープライズ、ITmedia エグゼクティブ
  • 対象者:経営者、経営企画の方、社内情報システムの運用・方針策定をする立場の方、企業情報システム部門の企画担当者、運用管理者、SIerなど

・ペンタセキュリティの講演について

  • 日時:2023年5月29日(月)11:30~12:00
  • タイトル:サイバー被害を横展開しない、セキュリティ戦略の3つのポイント
  • 講演概要:
    多くの企業がつながり新たな価値を生む昨今、自社のセキュリティ不備が取引先やお客様にサイバー被害を横展開し、社会的リスクを生み出します。本セミナーは、ビジネスを守る企業戦略としてリスクを『認識』『対策』『予防的対処』の3つのポイントから解説し、一貫性と持続性のあるWebセキュリティ対策を提案します。

 

・ご視聴方法

下記のサイトにて事前登録をお願いします。
https://v2.nex-pro.com/campaign/54993/apply?group=cl
ご登録のメールアドレスに視聴URLの案内が届きます。当日は、視聴URLにアクセスの上、事前登録にて登録いただいたメールアドレスでログインしてご視聴ください。

Cloudbric 脆弱性診断

クラウドブリックとペンタセキュリティ、 Web サイトに特化した脆弱性診断サービスの提供を開始

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023 年4 月12 日より、「Cloudbric 脆弱性診断」の新サービスとして企業のWeb サイトに特化した「Web サイト診断」の提供を開始します。

 

Cloudbric 脆弱性診断

  • サービス提供開始の背景

デジタル技術の進展により、インターネットをはじめとする情報通信ネットワークは私たちの社会にとって欠かせないものとなりました。特にここ数年、新型コロナウイルスの流行によって、世の中のデジタル化が急速に進行しています。総務省の調査*によると、Webサイトを開設している企業の割合は全体の90.4%にのぼっており、企業にとってWeb サイトは必須のものといえます。一方で、情報通信ネットワークを介したセキュリティ被害も急増しており、52.0%の企業が何らかのセキュリティ被害を受けたことがあることが分かっています。

しかし、セキュリティ対策を積極的に推進できない企業があるのも事実です。費用の問題や被害の影響範囲を小さく見積もってい
ることが考えられます。例えば、「自社のWeb サイトは静的なページのみなので、攻撃されないだろう」と思う企業もあるかもしれませんが、近年頻発している「サプライチェーン攻撃」に代表されるように、自社を経由して関連会社や取引先を侵害することもありえるため、Web サイトを公開している企業は常にサイバー脅威にさらされているのだという危機意識を持つ必要があります。

こういった企業を取り巻く状況を鑑み、「Cloudbric 脆弱性診断」においてもWeb サイトに特化した新しいサービスを迅速かつリ
ーズナブルな価格で提供することで、お客さまのWeb サイトのリスクの早期発見とサイバーセキュリティ対策の一助になることを目指します。

*総務省「令和3 年 通信利用動向調査報告書(企業編)」 https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202100_002.pdf

 

  • 「Cloudbric 脆弱性診断」および「Web サイト診断」について

「Cloudbric 脆弱性診断」は、セキュリティのエキスパートによる脆弱性診断と114 カ国から収集した独自の脅威インテリジェンスを利用できるサービスです。診断は、システムの基盤となるミドルウェアやOS などの診断を行う「プラットフォーム診断」、Web サイトやWeb アプリケーションのセキュリティ脆弱性を診断する「Web アプリケーション診断」、それから今回新た加わるWeb サイトに特化した「Web サイト診断」があり、お客さまの環境およびニーズに応じて必要な診断を選択することができます。

「Web サイト診断」は、企業のWeb サイトに対し、外部の攻撃者からの目線で有益な情報が収集できる状態になっていないか
を調査し、脆弱性を見逃すことなく、サイバー脅威のリスクから企業を守ります。必須診断項目の含まれたベースプランと、Web サイトの構造や属性に合わせて選択できる2 つのオプション(Web アプリケーション診断要素を加えたものとプラットフォーム診断要素を加えたもの)を用意しています。

 

■サービス概要
サービス名:Cloudbric 脆弱性診断(プラットフォーム診断・Web アプリケーション診断・Web サイト診断)
提供開始日:2023 年4 月12 日
URL:https://www.cloudbric.jp/security-assessment/

▼Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/

脆弱性診断とは

脆弱性診断とは?診断の必要性や種類を解説

脆弱性診断とは

社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。
この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。

 

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。

 

・脆弱性とは

「脆弱性(ぜいじゃくせい)」について、総務省では以下のように定義付けています。

「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」

引用元:総務省「国民のための情報セキュリティサイト」

セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。

 

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。

悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。

 

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。

脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。

 

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。
自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。

 

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース(公開)前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。

また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。

 

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。

手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。

関連記事:Cloudbric 脆弱性診断

 

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。

近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。

 

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。

Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。

 

 

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。

 

PR_脆弱性診断

クラウドブリックとペンタセキュリティ、脆弱性診断と脅威インテリジェンス サービスを組み合わせた「Cloudbric 脆弱性診断」の提供を開始

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年2月15日より、セキュリティのエキスパートによる脆弱性診断と95カ国から収集した独自の脅威インテリジェンスを利用できるサービス「Cloudbric 脆弱性診断」を開始します。
※脅威インテリジェンスサービスは現在準備中で、春頃の提供開始を予定しています。

PR_脆弱性診断

  • 新サービス開始の背景

近年増加しているサイバー攻撃は、企業に深刻な損害をもたらします。情報処理推進機構(IPA)によると、2021年9月にある建設コンサルティング企業がランサムウェア攻撃を受け、7億円以上の特別損失を計上した例もあります*。こうした脅威にさらされている企業にとって、情報セキュリティ対策は喫緊の課題です。

企業が行うべき対策の第一歩は、サイバーリスクの認識であり、そのために必要なのが「脆弱性診断」です。まずは、自社のシステム環境がどのような脆弱性を抱えているのかを明確化し、次に脆弱性への対策を実施するのが定石です。クラウドブリックでは、これまでクラウド型WAFサービス「Cloudbric WAF+」などの情報セキュリティサービスを提供してまいりましたが、今回の新サービスは企業が最初に導入すべきサイバーセキュリティ対策であり、既存のサービスを含めるとCloudbricひとつでリスクの認識から脅威対策・継続的な運用まで、総合的なソリューション提供が可能になります。

また今回、クラウドブリックが95カ国から独自に収集した脅威インテジェンスを利用できる「脅威インテリジェンスサービス」も付帯することにより、攻撃の予兆となる最新の脅威情報をいち早く把握し、予防策を講じるのに役立てることができます。サイバー脅威情報を共有する国際的な非営利団体「CTA(Cyber Threat Alliance)」に加盟しているクラウドブリックならではのサービスであり、「未知の脅威」への対策も含んだ、一歩先を行くサービスを提供します。

クラウドブリックおよびペンタセキュリティは、今後も企業が安全なビジネス環境を構築できるよう、情報セキュリティサービスを拡充させてまいります。

*情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022」  https://www.ipa.go.jp/security/vuln/10threats2022.html

 

  • 「Cloudbric 脆弱性診断」の特長

  1. エキスパートによる手動での診断
    診断する技術者は、定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。技術者が診断を行うため、画一的な自動診断ツールよりも精度が高く、お客さまの環境に合わせた柔軟な対応が可能です。診断はシステムの基盤となるミドルウェアやOSなどの診断を行う「プラットフォーム脆弱性診断」とWebサイトやWebアプリケーションのセキュリティ脆弱性を診断する「Webアプリケーション脆弱性診断」があり、お客さまのシステム環境に応じて必要な診断を選択することができます。
  2. 深刻度×悪用度を算出した網羅的な評価スコア
    診断にはCVSSスコアに加え、EPSS情報も組み合わせることで、網羅的な評価スコアを算出します。基本評価基準・現状評価基準・環境評価基準による脆弱性の深刻度と、脆弱性の悪用度を掛け合わせ、優先して対応すべき脆弱性を明確に提示します。
  3. 未知の脅威に事前対応できる、脅威インテリジェンスサービス付帯
    診断結果のレポートは、専用の管理画面から確認できます。指摘された脆弱性の詳細はもちろん、弊社が95カ国から独自に収集した脅威インテジェンスも利用可能です。クラウドブリックは、サイバー脅威情報を共有する国際的な非営利団体「CTA」に加盟しており、脅威情報の収集、分析および評価する技術力が世界で認められております。攻撃の予兆となる最新の脅威情報をいち早く把握することで、サイバー攻撃への事前の備えができます。
    ※管理画面および脅威インテリジェンスサービスは現在準備中です。
  4. 脆弱性へのソリューション提案
    脆弱性診断の結果、脆弱性への対策としてセキュリティ製品の導入が最適と判断された場合、サイバー脅威から企業を守る5つの必須サービスを備えた「Cloudbric WAF+」などの提案および導入サポートを行います。脆弱性の認識だけでなく、対策まで総合的に提供できるのが、Cloudbricならではのメリットです。
    ※Cloudbric WAF+はオプションです。

 

■サービス概要
サービス名:Cloudbric 脆弱性診断
提供開始日:2023年2月15日
URL:https://www.cloudbric.jp/security-assessment/

 

Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/