ペネトレーションテストの意味|その目的や脆弱性診断との違いとは
システムに脆弱性が存在すると、外部・内部からの攻撃によって機密情報の漏洩や金銭的な損失だけでなく、企業の信用にも関わる重要な問題に発展することがあります。そこでシステムの脆弱性を調べる方法としてペネトレーションテストがあります。
この記事ではシステムのセキュリティ担当者や情報管理などを行う必要のある方へ向けて、一般的な脆弱性診断との違いやペネトレーションテストの手法、導入するメリット・デメリットや費用などについて解説します。
目次
[ 開く ]
[ 閉じる ]
ペネトレーションテストとは
ペネトレーションテスト(侵入テスト)とは、ホワイトハッカーが実践的にシステムへの侵入を試みることで、サイバー攻撃に対する耐性を検証するテストのことです。
ペネトレーション(Penetration)とは「貫通」や「侵入」を意味します。ペネトレーションテストでは実際にネットワークに接続しシステムに攻撃を仕掛け、侵入を試みることから「侵入テスト」と呼ばれることもあります。
システム構築完了後すぐに公開してしまった場合、完成したシステムに情報の安全性を脅かす恐れのある欠陥があると外部からのサイバー攻撃などによりシステムが危険にさらされるかもしれません。考えうるリスクを想定したペネトレーションテストを実施してシステムに脆弱性がないか確認することが重要です。
ペネトレーションテストの目的
ペネトレーションテストの目的は、インターネットなどのネットワークに接続されているシステムに対して侵入を行い、脆弱性を悪用して対象のシステムのセキュリティ機能を回避または無効化されてしまう可能性の有無を特定することです。検証対象のシステムの構成などに応じて想定される攻撃のシナリオを作成し、システム全体を網羅的にテストするのではなく、特定の範囲の脆弱性や問題点を発見することを目的としています。
類似するセキュリティ調査に脆弱性診断がありますが、脆弱性診断はシステム全体に対して行い、脆弱性を悪用された場合にシステムを意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定・ランク付け・および報告を目的としています。
| 種類 | 目的 |
|---|---|
| ペネトレーションテスト | 検証対象のシステム構成などに応じた攻撃のシナリオに沿って実施する。特定の脆弱性や問題点を発見することを目的としている。 |
| 脆弱性診断 | システム全体に対して実施し、ツールなどを用いて既知の脆弱性の特定・ランク付け・および報告を行うことを目的としている。 |
脆弱性診断との違い
脆弱性診断はシステム全体に対して行い、ネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか網羅的に検査を行います。そのため検査範囲は広範囲となるため、ツールなどを使って定型的な手法が使われることもあります。既知の脆弱性に対しては効果的ですが、ゼロデイ(0-day)脆弱性の検出には向いていません。
脆弱性診断の目的は、脆弱性を悪用された場合にシステムを意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告を行うことです。診断後に発見された脆弱性の種類や危険性を「共通脆弱性評価システム(CVSS)」というもので評価しランク付けすることで、講じるべき対策を取ることが出来ます。
脆弱性診断が攻撃のきっかけやヒントとなる脆弱性をより多く見つけるための網羅的な検査を行います。これに対してペネトレーションテストでは特定のシナリオに沿ってシステムの内部に深く侵入したり、管理者権限の奪取やクラウドサービスから重要なファイルを探し出したりするなど、あらゆる手法を使って検証を行います。
ペネトレーションテストの種類
ペネトレーションテストは調査する対象によって下記の種類に分かれます。
| 種類 | 調査対象 |
|---|---|
| 内部ペネトレーションテスト | 外部からアクセスできないシステム・機器 |
| 外部ペネトレーションテスト | 外部からアクセスできるシステム・機器 |
内部ペネトレーションテストは攻撃者がすでに内部へ侵入していることを想定し、外部からアクセス出来ない内部システムに対するテストを行います。外部ペネトレーションテストは攻撃者が外部から侵入することを想定したテストとなります。インターネットからアクセス可能なシステムや機器に対するテストを実施します。
内部ペネトレーションテスト例としては、社内のネットワーク内部に悪意のある保守担当者がいることを想定し、メインサーバーへの侵入・権限取得を想定したものが挙げられます。また、外部ペネトレーションテストは社外からの攻撃を想定しており、例として標的型メールによる攻撃手法が挙げられます。
ペネトレーションテストのやり方
ペネトレーションテストを実施するにはツールを使って社内で実施する方法と、専門会社のサービスを利用する方法があります。
| やり方 | メリット | デメリット |
|---|---|---|
| ツールを使って社内で実施する |
|
|
| 専門会社のサービスを利用する |
|
|
ツールを使って社内でペネトレーションテストを行った場合は時間と手間がかかってしまいます。専門的な知識を持った人材がいなければテストを行うシナリオもシンプルなものに絞ったものしか実施できません。一方、専門会社のサービスを利用した場合は実際のサイバー攻撃を想定したシナリオを実施することが出来ます。
ペネトレーションテストはハッカーがサイバー攻撃を仕掛けることを想定して行うことが求められるため、高度な知識を持った人材がいない限りは専門会社のサービスを利用したほうが良いでしょう。
【関連記事】ペネトレーションテストの方法|基本の手順やツール・サービスの活用法
ツールを使って社内で実施する
ペネトレーションテストを実施する際に使用するツールを「ペネトレーションテストツール」と言います。内容は以下のとおりです。
- IPアドレスやポート番号の洗い出しと稼働しているOSやミドルウェアの種類やバージョンの確認
- 対象ネットワークの脆弱性スキャン
- 通信内容の傍受
- パスワードの解読
ペネトレーションテストを実施する企業や使用するツールやサービスなどによって方法は異なりますが、概ね以下のような流れでペネトレーションテストは実施されます。
| 1.ヒアリング・準備 | テスト対象のシステムのネットワーク構成、個人情報や機密情報の保管状態、アクセスログなどの取得状況などを考慮し、どのような診断・テストを行うかシナリオを作成する。 |
|---|---|
| 2.攻撃・侵入テスト | 作成したシナリオに従って攻撃・侵入を実施して、結果を記録。自動的に行われるテストや手動で行うテストなど様々な方法で攻撃・侵入を行う。 |
| 3.報告書の作成 | テスト結果をまとめ、報告書を作成。 |
ペネトレーションテストの実施にあたってはセキュリティやシステムに関する知識を十分に持った人がシナリオを作り、それに基づき様々なテクニックを駆使して攻撃や侵入を試みる必要があります。ただし、システムが小規模な場合やシンプルなシナリオのケースの場合はツールを使用してテストを実施することも可能です。
そうした社内でのペネトレーションテストを実施する際に役立つのが「ペネトレーションテストツール」です。ペネトレーションテストツールは無料で使えるものも存在しますが、限られた機能や脆弱性のテストしか行えません。以下は代表的な無料ツールを4つです。
ペネトレーションテストの実施にあたっては前述の通りセキュリティやシステムに関する知識を十分持った人が業務に当たる必要があります。しかし、一般の企業でこのようなスキルを備えた人材を確保するのはなかなか難しいでしょう。そのため、人材を確保することが難しい場合やシナリオの規模が小さい場合などにおすすめの方法となります。
専門会社のサービスを利用する
サイバー攻撃について知り尽くしたセキュリティのプロフェッショナルが、実際にハッカーが攻撃を仕掛ける手段と同等な方法を用いて疑似攻撃を実施し、人の目でシステムの弱点を発見します。詳しくは「ペネトレーションテストの方法|基本の手順やツール・サービスの活用法」をご覧ください。
専門会社に依頼すると、次のメリット・デメリットが考えられます。
【メリット】
- 具体的な検証ができる
- 効率的・効果的に第三者視点からのシステムの弱点を知ることができる
【デメリット】
- テストを実施する実施者の経験値によって結果が左右されてしまう
- 大規模なシステムに対して精密なテストをしようとすると費用が高くなる
ペネトレーションテストは費用も高く、大掛かりであるため重要インフラやCSIRT(Computer Security Incident Response Team:コンピュータやネットワーク上で何らかの問題が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称)があるような大企業向けとも言えるでしょう。
GMOサイバーセキュリティbyイエラエのペネトレーションテストを紹介
(引用:GMOサイバーセキュリティbyイエラエ)
「GMOサイバーセキュリティbyイエラエ」では、高い専門性と知識を持ったホワイトハッカーによるペネトレーションテストのサービスを提供しています。対象システムの特性や想定される脅威から攻撃シナリオ(攻撃の起点とテストのゴール)を設定しホワイトハッカーが疑似的なサイバー攻撃を行い現在のセキュリティ対策の有効性やリスクを評価します。
CSIRTの対応能力の向上やSOCの検知精度の確認、パスワード強化などの社内セキュリティ意識の向上におすすめです。実績も豊富な「GMOサイバーセキュリティbyイエラエ」で、御社のセキュリティ向上に努めましょう。お気軽にお問い合わせください。
まとめ
ここまででペネトレーションテストのメリットとデメリット、脆弱性診断との違い、費用面について詳しく紹介してきました。インターネットやシステムの発達に応じて考えられる攻撃の種類も多くなり、ペネトレーションテストも複雑になってきています。ペネトレーションテストを効果的に実施するためにはシステムの特徴などを加味し、重視しているポイントなどを考慮することで検証する範囲などを絞り効率的に行う必要があります。
そのためには今回紹介したメリットやデメリットについてしっかり把握しておくことが重要であると言えるでしょう。
文責:GMOインターネットグループ株式会社
