【ペネトレーションテスト】高度な技術を持つ経験豊富なエンジニアが、組織や対象となるシステムの具体的な問題点を可視化

  • Facebookにシェアする
  • Twitterにシェアする
  • はてなブックマークにシェアする

クラフは、グループ会社であるSHIFT SECURITY、MAS Lab(マスラボ)とともに総合的なセキュリティサービスを展開しています。

今回ご紹介するのは、近年注目されているペネトレーションテスト。脆弱性診断との違いや、私たちが提供しているペネトレーションテストの特徴をお伝えします。

脆弱性診断とペネトレーションテストの違い

システムやプロセスに潜む脆弱性は、情報資産の機密性、完全性、可用性(CIA)を根幹から脅かすセキュリティリスクです。そのため、定期的な検査を通じて自社のセキュリティレベルを正確に把握し、継続的な改善サイクルを確立することが不可欠です。

今回は、その代表的な手法として「脆弱性診断」と「ペネトレーションテスト」についてご紹介させていただきます。

「脆弱性診断」は、システムに内在する、設計上の問題や構成ミス、プログラム上のバグといったセキュリティホールを、専門的な基準に基づき網羅的に検出・評価するアプローチです。システムは機能追加やソフトウェアの更新などで日々変化するため、変更のタイミングで定期的に診断を実施し、健全な状態を維持することが重要となります。

一方、「ペネトレーションテスト」は、専門家(ホワイトハッカー)が、実際の攻撃者と同じ思考や手法を用いて侵入を試みる、より実践的なテストです。個々の脆弱性だけでなく、設定の問題・運用課題なども利用し、それらがどのように悪用され、最終的にどのような被害に繋がりうるのか、攻撃シナリオの観点から検証し、具体的なリスクを可視化することを目的とします。

「脆弱性診断」を広く網羅的に検査する「健康診断」に例えた場合、「ペネトレーションテスト」は特定の部分を深堀りする「精密検査」に例えられます。

組織のセキュリティを多角的に強化するためには、これらの特性を正しく理解し、目的やフェーズに応じて適切に使い分けることが肝要です。

セキュリティ投資効果を最大化するアプローチ

セキュリティ対策を効率的かつ効果的に進めるには「脆弱性診断」から始め、その後に「ペネトレーションテスト」を実施する二段階のアプローチが最適です。

最初からペネトレーションテストに着手することはコストの面からも推奨されません。ペネトレーションテストの目的は攻撃シナリオにおける侵入経路を特定し、そのリスクを深堀することにあります。基本的に侵入に成功した経路上の脆弱性に絞って報告されるため、システム全体の網羅的な弱点は把握することができません。

もちろん、私たちが提供するペネトレーションテストでは、期間中に発見した侵入経路以外の重大な脆弱性もご報告をします。しかし、それはあくまで副次的な発見であり、脆弱性診断の網羅性とは本質的に異なります。

まず、脆弱性診断でシステム全体の弱点を網羅的に洗い出し、発見された脆弱性への対策を行うことで、組織全体のセキュリティレベルの底上げを図ります。そして基礎的な対策を終えた上で、「ペネトレーションテスト」を行い、対策を突破してくるような高度な攻撃に対する対策を行います。

このような順序で進めることで、限られた予算を重要なリスクの発見と対策に集中させることができ、セキュリティ投資の効果を最大化させることができます。

お客様のニーズに合わせ、2種類のペネトレーションテストを提供

ペネトレーションテストは、サイバー攻撃を疑似的に行うことで、システムに潜む具体的なリスクを可視化するサービスです。

テスト結果をもとに、対策の優先順位を判断したり、セキュリティ投資計画へ活用したり、具体的なアクションにつなげることが期待されます。

SHIFTSECURITYグループではお客様のニーズに合わせて2種類のペネトレーションサービスを提供しております。

1.シナリオベースのペネトレーションテスト

ペネトレーションテストの成果は、お客様の現状に即したシナリオを設計できるか否かに大きく左右されます。

私たちはまず、お客様がビジネス上最も「守りたいもの」、例えば「顧客情報や技術情報といった機密データ」や「事業継続の基幹となるシステム」などについて、ヒアリングします。

その上で「重要情報の窃取」や「マルウェア感染による管理者権限の奪取」といった、お客様が最も懸念するリスクをゴールに設定し、攻撃シナリオを作成します。

このアプローチにより、単一の脆弱性だけでなく、お客様の環境だからこそ起こりうる複合的なリスクまでを可視化する、実践的なテストが可能になります。

<関連記事>MAS Lab ペネトレーションテスト
https://www.maslab.jp/penetration

2.脆弱性ベースのペネトレーションテスト

先述したお客様個別にカスタマイズされたテストとは異なり、標準化・仕組化されたペネトレーションテストについてもご提供をしております。

標準化・仕組化されたテストのため、コストが抑えられ、品質にぶれが少ないのが特徴です。

NIST SP800-115(※)の基準に準拠したテストで、事前にシナリオを決めず、脆弱性診断の結果から攻撃シナリオを作成して侵入試行などを行います。

(※)NIST SP800-115は、アメリカ合衆国の国立標準技術研究所が提供しているものです。ネットワーク探索やポートスキャン、脆弱性スキャン、パスワードクラックなどペネトレーションテストを行う場合の項目を定義しています。

アドホック的な要素は押さえられますが、事前のシナリオは不要で、見つかった脆弱性に対してピンポイントでリスクを洗い出します。

<関連記事>SHIFTSEUCIRY ペネトレーションテスト
https://www.shiftsecurity.jp/penetration-test/

お気軽にご相談を

ペネトレーションテストは、IPA(独立行政法人 情報処理推進機構)が発表している情報セキュリティ10大脅威のうち、複数の脅威への対策として推奨できる効果的なセキュリティサービスです。

クラフでは、グループ会社と連携し、各社の強みも活かしながら総合的なセキュリティサービスを展開しています。ペネトレーションテストもその1つです。

セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご連絡ください。

関連記事