ペネトレーションテストとは?脆弱性診断との違いや種類・手法を解説!
ペネトレーションテストとは何か気になるけれど、脆弱性診断との違いはあるの?
ペネトレーションテストは、企業や組織にとって本当に必要なものなのでしょうか。
今回は、ペネトレーションテストと脆弱性診断の違いについて解説します。また、ペネトレーションテストの種類や手法についてもまとめてみました。
これを読めば、ペネトレーションテストは必要だと思えて、実施するきっかけになり、より効率的なセキュリティ対策を講じることができます。
先に結論を言うと、ペネトレーションテストは脆弱性診断とは目的が異なり、実際のサイバー攻撃を想定した検証が行えるので、システムの脆弱性を発見することが可能ですよ。
ペネトレーションテストとは
ペネトレーションテストとは、ネットワークに接続されているサーバやコンピュータシステムに脆弱性が潜んでいないかどうか検証するテストのことです。
実際にネットワークに接続してシステムに攻撃を仕掛け侵入を試みることから、侵入実験または侵入テストとも呼ばれます。
サイバー攻撃についての知識やスキルを持つ技術者が実際にシステムに対して模擬攻撃を行い、その結果を調べるというものです。
IT環境の変化に伴うサイバー攻撃の巧妙化、新たな脆弱性の発見などによってシステムのリスクは変化するため、定期的なペネトレーションテストを実施しましょう。
ペネトレーションテストと脆弱性診断の違い
ペネトレーションテストと脆弱性診断は少し似ていますが一番の違いは、ずばり実施する目的です。
なぜなら、どちらもシステムのセキュリティを評価するための手法ですが、アプローチの仕方が異なるからです。
ペネトレーションテストは、実際の攻撃を模擬してシステムの脆弱性を検証するテストですが、脆弱性診断は、ツールによりシステムに存在する潜在的な脆弱性を検知・検出し、評価する手法です。
どちらもセキュリティ強化のためには重要であり、それぞれの特徴を理解した上で選択または組み合わせてセキュリティを高めることが理想的と言えるでしょう。
ペネトレーションテストの必要性
近年では、サイバー攻撃の脅威が急速に進化しており、脆弱性診断ではカバーしきれない手法で内部に侵入する攻撃が増えています。
多くの企業や組織はセキュリティソリューションを積極的に導入したり、セキュリティ意識向上の教育を実施したりするなど様々な対策に取り組んでいるのです。
そして、その中でもペネトレーションテストは、それらの対策の有効性を確認するための重要な手段として位置付けられています。
システムに脆弱性がなかったとしても、攻撃から組織を守る対策がきちんとできているか確認するためには、ペネトレーションテストが必要となります。
ペネトレーションテストの種類
ペネトレーションテストには、次の2種類があります。
・内部ペネトレーションテスト
・外部ペネトレーションテスト
上記のようにペネトレーションテストは、調査する対象によって分類されます。では、それぞれの種類について詳しく解説します。
内部ペネトレーションテスト
内部ペネトレーションテストは、外部からアクセスできない内部システムに対して行うペネトレーションテストです。
アプリケーションサーバ、認証サーバ、セキュリティシステム、DBサーバなどが対象となります。
社内ネットワークに侵入されたと仮定し、内部から模擬攻撃を行いセキュリティ上の脆弱性を確認します。
また、外部からの攻撃だけでなく、内部不正による攻撃も内容ペネトレーションテストで確認することが可能なため、重要性は高いと言えるでしょう。
外部ペネトレーションテスト
外部ペネトレーションテストは、インターネットからアクセス可能なシステムや機器に対して行うペネトレーションテストです。
Webサーバやメールサーバなどが対象となります。
近年では、マルウェアなどを添付したメールを送付し、システムに侵入できるか、どこまで侵入できるかという点をテストします。
公開サーバは、誰もがアクセス可能であり、直接攻撃を受ける可能性が考えられます。そのため、外部ペネトレーションテストで直接攻撃を受けた際の脆弱性を確認することが可能です。
ペネトレーションテストの手法
ペネトレーションテストの手法には、次の3つがあります。
・ホワイトボックステスト
・ブラックボックステスト
・グレーボックステスト
テスト対象の内部構造をどれだけ把握している状態で実施するかが重要になるため、特性を理解しておきましょう。では、それぞれの手法について詳しく解説します。
ホワイトボックステスト
ホワイトボックステストは、事前に対象となるシステムの内部構造やコードなどの情報を把握している状態で行うテスト方法です。
システムの設計書を元にテストが作成され、開発者が気付けない潜在的な脆弱性を見つけやすいというメリットがあります。
ただし、設計書に誤りがあると正確なテスト結果が得られないというデメリットもあります。
また、設計書を読んだり、コードを解析したりする必要があり、コストが大きくなる可能性があるため、しっかり理解しておきましょう。
ブラックボックステスト
ブラックボックステストは、ホワイトボックステストとは異なり、事前に対象となるシステムの内部構造やコードなどの情報を把握せず、テストに最低限必要な情報だけが与えられた状態で行うテスト方法です。
システム全体の要件を満たせているかを確認できるというメリットがありますが、内部構造は把握できていないため、性能面での評価ができないというデメリットがあります。
また、サーバの振る舞いなどから情報収集する必要があり、効率よく攻撃を行えない可能性があるため、きちんと理解しておきましょう。
グレーボックステスト
グレーボックステストは、ホワイトボックステストとブラックボックステストの中間的なテスト方法です。
内部システムのサーバ情報やネットワーク情報など一部の情報を把握している状態でテストを行います。
また、提供された情報を活用することでテストの効率化を図ることができ、攻撃者視点でのテストも可能です。
実際にペネトレーションテストを実施する際は、目的やコストなどを総合的に考慮してどういうシナリオやテストを行うかをきちんと決めましょう。
ペネトレーションテストを実施するメリット
ペネトレーションテストのメリットは、実際にシステムに侵入するという具体的な検証ができるだけではありません。想定していなかった脆弱性が明らかになることもあります。
では、ペネトレーションテストを実施するメリットについて、具体的に見ていきましょう。
リアリティのあるテストができる
ペネトレーションテストを実施するメリット1つ目は、リアリティのあるテストが行えることです。
なぜなら、攻撃者が考える攻撃シナリオを作成し、そのシナリオに沿って実際に攻撃を仕掛けるテストだからです。
例えば、社内ネットワークの管理者権限を持つシステム管理者が内部犯行を起こす場合、脆弱性診断の結果が良好だとしても犯行を防ぐことは不可能です。
そのような脅威を防ぐため、システム管理者による内部犯行の攻撃シナリオを作成してテストを実施すれば、セキュリティ上の問題点を検出することが可能です。
自社のシステムに対応したテストができる
ペネトレーションテストを実施するメリット2つ目は、自社のシステムに対応したテストが行えることです。
なぜなら、テストのためのシナリオは、対象となるシステムの構成や使用されているハードウェア・ソフトウェアの種類などを全て調べ上げたうえで作成するからです。
例えば、外部向けセキュリティ対策は万全でも連携システムのセキュリティの検討が不足している場合もあります。
そのような場合は、連携システムを介した攻撃シナリオを重点的に行うべきでしょう。
第三者視点からの脆弱性を発見できる
ペネトレーションテストを実施するメリット3つ目は、第三者視点からの脆弱性を発見できることです。
なぜなら、自社内でシステム管理を行っていると、当事者からは気付けないセキュリティリスクが存在することもあるからです。
例えば、セキュリティソフトの導入や情報端末の適切な管理、ファイアウォールなどの対策をきちんと行っていたとしても、リスクが存在する可能性は十分に考えられます。
そこで、外部の専門会社に依頼すれば、第三者視点でセキュリティリスクの有無を検証してもらえます。
ペネトレーションテストを実施するデメリット
ペネトレーションテストは、実施者のスキルによって成果が左右されることも珍しくありません。高いスキルを持った技術者がテストを実施すると問題が見つかる場合もあります。
では、ペネトレーションテストを実施するデメリットについて、具体的に見ていきましょう。
通常業務に影響がでる可能性がある
ペネトレーションテストを実施するデメリット1つ目は、通常業務に影響がでる可能性があることです。
なぜなら、ペネトレーションテストでは、なるべく影響が出ないようなテストを行いますが、想定外の事故が起こる可能性があるからです。
例えば、大量のアラートの発生やシステムへの高負荷などが考えられます。
そのため、テストを実施する際は、事前に環境のバックアップを取得しておくなど、想定外の事態に備えてしっかり準備しておきましょう。
実施者の技量によって成果が左右される
ペネトレーションテストを実施するデメリット2つ目は、実施者の技量によって成果が左右されることです。
なぜなら、ペネトレーションテストは、個々の状況によって最も適した攻撃シナリオを作成して実施するからです。
例えば、ある技術者が問題なしと判断したシステムでも、他の高いレベルの知識を持った技術者がテストをすると問題が見つかる可能性もあります。
そのため、できるだけ経験豊富で実績のある技術者に依頼するのが良いでしょう。
膨大なコストや所要時間がかかる可能性がある
ペネトレーションテストを実施するデメリット3つ目は、膨大なコストや所要時間がかかる可能性があることです。
なぜなら、個々のシステムの状況や運用方法などによって作成する攻撃シナリオが異なるからです。
例えば、テスト対象の範囲や実施する期間によってコストは大きく変化します。また、情報収集や攻撃シナリオの検証に時間がかかる可能性もあります。
ペネトレーションテストでは脆弱性診断とは異なり、コストや所要時間が膨大になる可能性が高いため、種類や実施方法を事前にきちんと確認しておきましょう。
ペネトレーションテストの流れ
ペネトレーションテストの基本的な流れは、以下の準備・テスト・レポートの3段階です。
・事前準備
・テスト実施
・レポート
実施するにあたっては十分な知識を持った人がシナリオを作成しなければなりません。では、ペネトレーションテストの流れについて、詳しく解説します。
事前準備
まずは、テストを実施するために必要な事前準備をします。ゴールとする想定被害やテスト対象の範囲を具体的に決めなければなりません。
ヒアリングによる要求分析を経て、テスト対象となるシステムの環境、構成などを分析し、テスト範囲と内容を決定してテスト用の攻撃シナリオを作成します。
また、テストを実施するために必要なツールの準備やログ取得のためのセッティングなども忘れずに行いましょう。
テスト実施
事前準備が済んだら、模擬攻撃によるテストを実施します。
脆弱性が発見された場合は、その脆弱性によってどのような被害が及ぶ可能性があるのかを調査しなければなりません。
また、発見された脆弱性のうち、システムへ侵入するリスクが高いものの洗い出しを行います。さらに、ターゲットを絞ったり複数の攻撃を駆使したりして、目的を達成できるか判断するケースもあります。
レポート
最後に、テスト結果を元にレポートを作成します。
発見された脆弱性などに関するテスト結果を報告しなければなりません。発見された脆弱性の他、不備の分析や攻撃経路などの詳細をレポートにまとめて報告しましょう。
また、レポートの納品から期間を定めてサポートを提供したり、発見した問題のシステムの再検査を有償で行ったりするベンダーもあります。
まとめ
今回は、ペネトレーションテストとは何か、脆弱性診断の違いや種類・手法について解説してきました。
ペネトレーションテストは脆弱性診断とは異なり、実際のサイバー攻撃を想定した模擬攻撃が行えるため、システムに脆弱性が潜んでいないかを検証することができます。
日々取り組んでいるセキュリティ対策が突破される可能性も十分に考えられるため、定期的なペネトレーションテストを実施していただきたいです。
近年、巧妙化・高度化しているサイバー攻撃から情報漏洩を防ぐため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。
NEW
-
情報漏洩によるコンプライアンス違反とは?6つの事例や原因・対策を解説!
2024/10/05 -
脆弱性とは?発生する原因や脆弱性によるリスク、適切なセキュリティ対策を解説!
2024/09/25 -
フォレンジック調査とは?種類や調査の内容、3つの注意点を解説!
2024/09/25