年1必須!サイバー攻撃対策「ペネトレーションテスト」「脆弱性診断」とは
ペネトレーションテストと脆弱性診断の違い
システムに脆弱性があると、サイバー攻撃により情報漏えいなどを起こすリスクが高くなりますが、そのリスク低減のためにできる事前対策として「ペネトレーションテスト」と「脆弱性診断」という方法があります。今回は、両テスト・診断がどういうものなのかを見てみましょう。
サイバー攻撃対策は、ハイパー|セキュリティア推進部にお任せ!
ペネトレーションテストと脆弱性診断の違い
どちらもセキュリティ対策であることに違いはないのですが、ベネトレーションテストと脆弱性診断は、方法と目的が異なります。
ペネトレーションテスト(ペンテスト)は、侵入テストとも言われるとおり、システムに疑似侵入し、特定の脆弱性や問題点を見つけるものです。一方、脆弱性診断(セキュリティ診断)は、ツールを用いて、既知の脆弱性を特定します。
ペネトレーションテストは、検証内容によって調査対象も変わってきますが、脆弱性診断はシステム全体を確認するという違いもあります。
ペネトレーションテスト
サイバー攻撃者が実行しそうな方法に基づいて、ホワイトハッカーがシステムに侵入し、サイバー攻撃にどれだけ耐性があるのかを調べます。
擬似的にシステムに侵入するため、システムの脆弱性や運用面の脆弱性が明らかになり、それによって組織のセキュリティレベルが顕在化されます。
脆弱性診断と異なり、脆弱性を網羅的に洗い出すものではなく、攻撃者が明確な意図をもって侵入し、その目的が達成される可能性があるかを検証するものです。
フローとしては、まず目的や疑似攻撃する範囲・対象を設定します。次に、実際に疑似攻撃を行い、その結果や取得したログを記録します。
対象となるシステムは、外部からアクセスできないシステム(内部ペネストレーションテスト)、外部からアクセスできるシステム(外部ペネストレーションテスト)の2種類に分類できます。
内部ペネトレーションテストは、攻撃者がすでに内部システムに侵入してしまっていることを想定します。攻撃者がID・パスワードを盗んでいる場合や、悪意のある保守担当者がいる場合などが考えられます。
外部ペネトレーションテストは、標的型メールなどの攻撃で、外部からどこまでシステムに侵入できるようになっているのかを調べます。
ペネトレーションテストには2つの方法があります。1つはホワイトボックス型、テストの対象となるシステム情報を事前にテスト実施者に共有して行う方法、もう1つはブラックボックス型、テスト実施者にシステム詳細を伝えずに行う方法です。
よく読まれているセキュリティ関連の記事はこちら
脆弱性診断とは
システムに脆弱性があると、そこを突いて攻撃を受け、重要な機密情報が漏えいしたり、システムが誤動作を起こしたりといったことが起こり得ます。攻撃を未然に防ぐために、システムの脆弱性を網羅的に調べるのが、脆弱性判断です。
脆弱性診断には、検査の対象から2つに分けられます。
1つめのアプリケーション診断では、Webアプリの入力フォームなどの入出力値の処理や、ログイン時の認証処理などが対象となり、SQLインジェクション、なりすましなどをはじめ、システム停止や情報漏えいなどにつながる脆弱性を洗い出します。
2つめのプラットフォーム診断は、Webアプリを実行するサーバー、ミドルウェア、OS、ネットワーク機器などが対象で、脆弱性の検出、各機種の設定を確認します。
検査方法は、サイバーセキュリティの専門が「手動診断」を行う方法、脆弱性診断用ツールを用いる「ツール診断」の2通りあります。
ペネトレーションテストや脆弱性診断をどう行うべきか?
サイバー攻撃は年々多様化しており被害も広がっているため、ペネトレーションテストや脆弱性診断は、最低でも1年に1回の頻度で行うことが好ましいとされています。
実施には高度なセキュリティの知識が必要なので、一般企業では専門業者に依頼することになるでしょう。
しかし、依頼する側だからセキュリティの知識が不要なわけではありません。検証を依頼する際には、対象機器に関する情報(設計書、ソースコード、脅威分析結果など)を業者に提供することが望ましいからです。
また、検証目的や目標を定めるのも依頼側です。ペネトレーションテストを行うべきなのか、脆弱性診断のほうがふさわしいのか、見極めるためにはセキュリティの知識が必要です。さらに、業者選定のためにも、セキュリティを学んでおくことは大切です。
ハイパーでは、「体験型セキュリティ教育」セキュアプラクティスを提供しています。こちらのコースでは、擬似的にサイバー攻撃を受けた体験をし、インシデント発生時の初動対応が習得できます。
まとめ
ペネトレーションテストは、システムに疑似侵入して問題がないか調べる
脆弱性診断は、ツールを用いて脆弱性を洗い出す
外部依頼する場合も、セキュリティの知識があったほうがいい