ITシステムやネットワークなどに脆弱性があると、サイバー攻撃の対象となりかねません。システムのセキュリティに懸念があるのなら、ペネトレーションテストの実施が有効です。本記事では、ペネトレーションテストの基礎知識や脆弱性診断との違い、具体的なやり方などについて解説します。実施によって得られるメリットや取り組み方を把握し、この機会にぜひ取り入れてみましょう。
ペネトレーションテストとは?
ペネトレーションテストとは、システムへ意図的に攻撃、侵入しセキュリティ能力を検証するテストです。ペネトレーション(penetration)は、侵入や貫通を意味する英単語であり、このことからペネトレーションテストは侵入テストとも呼ばれます。
システムに存在する特定の脆弱性や、攻撃を受けたときの被害レベルを把握するために行われるテストです。シナリオに基づきシステムへの侵入を試みるため、実施する際には専門の技術者が担当します。
なお、テストの調査対象は検証内容によって異なります。これは、悪意をもつ攻撃者が求める結果を出せるかどうか、テストによって確認するためです。
・ペネトレーションテストと脆弱性診断との違い
ITシステムなどのセキュリティをチェックする手法として、脆弱性診断が挙げられます。脆弱性診断とは、システム全体に存在する脆弱性を網羅するためのテストです。サイバー攻撃は、システムの脆弱性を狙ったものが多いため、どのような弱点があるのか把握し、適切な対策を行わなくてはなりません。脆弱性診断はそのために実施します。
脆弱性診断は、専門の技術者が行うこともあれば、ツールを利用するケースも少なくありません。診断によって、介在している脆弱性の特定や脅威レベルの設定、レポートへの記載などを行います。
ペネトレーションテストとの大きな違いは、目的と調査対象です。ペネトレーションテストの目的は、特定の脆弱性や被害レベルの抽出で、検証内容によって調査対象が変わります。一方、脆弱性診断はシステム全体が調査対象であり、侵入口となる脆弱性を網羅的に発見するのが目的です。
なお、目的に応じた脆弱性診断を実施したいのであれば、以下のサービスが適しています。
Cloudbric 脆弱性診断
ペネトレーションテストの種類
ペネトレーションテストは、大きく分けて内部テストと外部テストに分類されます。前者は、アプリケーションサーバやセキュリティシステムなど内部のシステム、後者は公開サーバや機器など、外部からアクセスできるシステムなどが対象です。
・内部ペネトレーションテスト
内部ペネトレーションテストは、アプリケーションサーバや認証サーバ、セキュリティシステム、DBサーバなど、外部とシャットアウトされた内部システムを調査対象としたテストです。これらは、外部からのアクセスが困難であるものの、攻撃の対象にならないわけではありません。
また、外部からの攻撃にしっかりと備えていても、すでに侵入されていた、内部に不正を働く者がいる、といった状況ではシステムを守り切れません。このような状況の回避や、ダメージ最小化を実現するためテストを行います。
・外部ペネトレーションテスト
外部ペネトレーションテストは、ネットワークを介して外部からアクセス可能な、公開サーバやシステム、機器などを対象に行うテストです。実際に専門の技術者が外部からシステムなどへ侵入を試み、脆弱性や被害レベルなどを可視化します。
外部からの代表的なサイバー攻撃と言えば、標的型メールが挙げられます。標的型メールとは、特定の対象をターゲットとしたメール攻撃です。主に、ターゲットとした組織が保有する重要な情報を盗むために用いられる手法で、マルウェアを仕込んだメールを添付して実行されるケースがほとんどです。
そのため、外部ペネトレーションテストでも、疑似マルウェアを用いて侵入を試みるテストがよく行われています。疑似マルウェアを添付したメールを送付し、侵入可能な領域などを抽出します。
ペネトレーションテストの手法
ペネトレーションテストには、ホワイトボックステストとブラックボックステストの2種類があります。双方に特徴があるほか、どちらを実施するかで費用が変わることも覚えておきましょう。
・ホワイトボックステスト
ホワイトボックステストは、システムの設計や仕様、ソースコードなどを共有して行われるテストです。すべてのロジックを対象にテストを行うため、表面化していない潜在的な脅威を検出できる可能性があります。
ホワイトボックステストを行う際、場合によっては思うような成果が得られないケースがあるため注意が必要です。当該テストは、システムの詳細設計書に基づき実施されます。そのため、詳細設計そのものに誤りがあると、正しく検証を行えず問題を抽出できません。
・ブラックボックステスト
ブラックボックステストは、システム情報を開示しないまま実施される侵入テストです。検証を実施する技術者に、システムの情報を何ひとつ教えないため、実際のサイバー攻撃に限りなく近いシチュエーションのもとテストを実施できる点が特徴です。
また、システム利用者の目線でテストを行えるため、システムの改善につながるヒントを得やすいのも魅力です。開発側では把握できていなかった、システムの使いにくさ、画面の見にくさなどに気づくきっかけとなりえます。
一方、システムの性能を評価するテストとしては優れていません。システムの設計や仕様といった情報を共有しないままテストを実施するためです。
ペネトレーションテストの手順
ペネトレーションテストを実施するには、まずシナリオを作成します。たとえば、「マルウェアが添付されたメールを従業員が開いてしまう」といった具合に、実際のサイバー攻撃を想定したシナリオを作成しましょう。
シナリオが完成したら、調査対象への攻撃を開始します。検査を行う技術者の技量によって、結果が大きく左右されることがあるため、その点に注意が必要です。
テストが終了したら、検証を担当した技術者や企業が報告書を作成し、提出します。外部に依頼する場合、報告は書面で渡されるだけのケースもあれば、結果内容について担当者が説明してくれることもあります。このあたりの対応は、依頼先によって異なるため、事前に確認しておきましょう。
まとめ
実際のサイバー攻撃を想定したペネトレーションテストの実施により、脆弱性の特定と適切な対策が可能です。各種システムのクラウド化が進む昨今では、クラウドセキュリティの重要性が高まっています。クラウドを含めたシステムの情報セキュリティに問題があると、機密情報の漏えいにつながり、社会的な信用を失いかねません。このような状況を回避するためにも、セキュリティ向上を実現できるペネトレーションテストの実施を検討してみましょう。
