見出し画像

第56話 ペネトレーション・テストで想定外を洗い出す

吉田 晋 情報処理安全確保支援士(登録025036号)

ゼロトラストFTAの総仕上げ

CIS Contrlols 最後のテーマ第18章はペネトレーションテストについての考察だ。

ペネトレーションテストは、CISコントロール7で説明されている脆弱性テストとは異なります。脆弱性テストは、既知の安全でない企業資産の存在をチェックするだけで、そこで終わりです。
ペネトレーションテストは、さらにその弱点を突くことで、攻撃者がどこまで攻撃できるか、またその脆弱性を突くことでどのようなビジネスプロセスやデータに影響が及ぶかを確認します。
(CIS Controls 18 Penetration Testing)

ペネトレーションテストにおいては、企業がどうしても対策が後回しにしてしまうポイント「暗黙の信頼(多分大丈夫なはずだ)」を浮き彫りに出来るかが重要である。

7つの盲点

ゼロトラストFTAでは、多くの企業のセキュリティ対策には7つの「盲点(〜のはずだ)」があると考える。

盲点1:マルウェア検疫
業務システムに接続してくる端末は全てマルウェア対策済みのはずだ。

盲点2:端末紛失
社員はモバイル端末を紛失しないようにきちんと管理しているはずだ。

盲点3:USBメモリ
社員は機密情報や個人情報をUSBメモリで無断持ち出しはしないはずだ。

盲点4:一要素認証
IDとパスワードさえ合っていればそれは正しいユーザのはずだ。

盲点5:セキュリティパッチ
システム管理者は社内サーバのセキュリティパッチは速やかに適用しているはずだ。

盲点6:不正持出し
社員は機密情報を個人のメールやクラウドに無断持ち出ししないはずだ。

盲点7:誤送信
社員は個人情報や機密情報をメールで送信する時は誤送信しないはずだ。

想定外の想定外を発見する

ゼロトラストFTAとは「想定外」を洗い出すセキュリティ手法であった。そしてゼロトラストFTAによるセキュリティ対策を実施したはずにも関わらず、ペネトレーションテストで新しく脆弱性が発見されるということは「想定外の想定外の発見」ということである。

その場合は、速やかに自社のゼロトラストFTAに反映され更新されるべきである。
テスト結果で脆弱判断とされた箇所だけでなく、同じ粒度で他の項目についても見直しをすることが重要だ。

ペネトレーションテストはその「想定外の想定外」を洗い出す「ゼロトラストFTAセキュリティ」の総仕上げと言える。

まとめ

・ゼロトラストFTAでセキュリティ対策を実施したあと、ペネトレーションテストを行うことは望ましい。

・テストにて脆弱性が明らかになった場合はその箇所だけでなく、ゼロトラストFTA上で同じ粒度で見落とし箇所を洗い出すことが重要だ。

【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。

この記事が気に入ったらサポートをしてみませんか?