総合ITベンダー
人の作業と同等の品質でテストを自動化し、ペネトレーションテストをより多くの企業に提供可能に
お客様の課題
TEDのソリューション
導入製品
株式会社ラック
デジタルイノベーション統括部
デジタルペンテスト部
戸谷 洋介 氏
幅広いセキュリティサービスを提供している株式会社ラック(以下、ラック)では、近年のサイバー攻撃の増加を受け、ますます多くのセキュリティ診断やペネトレーションテスト実施の依頼が寄せられるようになっています。しかし、攻撃者の視点で検査を行える技術者はそう多くありません。このギャップを埋めるため、ラックでは「Pentera」を活用し、一部のペネトレーションテストを自動化して、顧客からの多くのニーズに応えられるようにしました。
セキュリティ対策を中心とするITソリューションを提供するラック。セキュリティコンサルティングや監視サービス、そしてインシデント発生時の対応など幅広いサービスを通して、日本の官公庁や企業のセキュリティ対策を支援してきました。
同社の事業の柱の1つがセキュリティ診断サービスです。自社のシステムに脆弱性や設定ミスを含むリスクがないかを洗い出し、適切に対策する判断材料を提供するものです。 さらに、より高度で持続的な攻撃への備えを確認するのが「ペネトレーションテスト」です。ペネトレーションテストでは「攻撃者」の視点に立ち、機密情報の奪取といった「目的」を達成できるか否かという観点から、リスクを洗い出します。
近年ではサイバー攻撃が増加し、企業におけるセキュリティ意識が高まる中で、ラックに寄せられる依頼も増加しました。しかし、セキュリティ技術者、特に攻撃者の視点で診断ができるペネトレーションテスターの数は限られています。しかもペネトレーションテストは、診断を受ける企業の業態や扱う情報、目的によって進め方が異なります。
「人材が限られるという課題のほかにも、ペネトレーションテストはどの範囲までテストを実施するかといったスコープの設定も含めて行う際に、プロジェクトが大がかりなものになりお客様にかかるコストが増大しやすいという側面がありました」と同社デジタルイノベーション統括部 デジタルペンテスト部の戸谷氏は振り返ります。
ラックは、脆弱性診断と同様にペネトレーションテストにもツールを活用して、効率的に実施できる手段を模索し始めました。
「ペネトレーションテストのすべてを自動化するのは難しいですが、ただ、我々のこれまでの経験からも、社内ネットワークの調査が重要であり、そのスコープにマッチしたものがあれば活用したいと考えました」(戸谷氏)
最近のサイバー攻撃の多くは社内ネットワークでの横展開(ラテラルムーブメント)が行われます。攻撃者は何らかの手段でユーザーの端末に侵入した後、侵害範囲を広げ、その上でデータの暗号化や機密情報の奪取といった目的を達成するのです。「この横展開の恐れが自社にあるのかを知りたいというお客様が多く、そのスコープに適したツールを選定したいと考えました」と戸谷氏は語ります。
こうして選ばれたのが「Pentera」でした。戸谷氏はその選定理由について、「内部ネットワークでの横展開を自動的に再現して攻撃を実行できるツールの中で、ペネトレーションテスターから見て、我々のサービスに近い品質を担保できると感じたのがPenteraでした」と語ります。
ラックではPenteraの攻撃能力について検証も行いました。「Active Directoryを前提とした組織内部のネットワークに対する侵害という点では、他社製品に比べ、お客様に提供できるクオリティに十分到達していると判断しました」と戸谷氏は評価します。
ラックでは、テスターによる手動のペネトレーションテストと、Penteraを用いた自動テストを、顧客のニーズに応じて使い分けています。「組織内部のネットワークに対するテストを実施したいが、十分な予算がない場合には、まずPenteraを優先的に使用するケースがあります」と戸谷氏は語ります。
ペネトレーションテストは、攻撃者が目的を達成できるかどうかを確認することを主な目的とするため、優先的に調査されるサーバーや端末とそうでないものが生じます。しかし顧客によっては「すべての端末やサーバーを網羅的に見てほしい」といった要望を受ける場合もあり、そうしたケースにもPenteraが適しているといいます。
Penteraによるテストは洗い出された問題点をMITRE ATT&CKのフレームワークに則して報告できるため、顧客のニーズにうまく対応できていると戸谷氏は評価します。
また、検出された問題点をただ羅列するだけでなく、「攻撃者によって何が達成されるか」という観点から脆弱性や問題点を示す「アチーブメント」という項目が用意されています。「情報漏えい」や「サーバーの遠隔操作」といった問題がどのような経路で起こりうるかをフローチャートとして示すことで、リスクごとに流れと問題点を把握することができます。
テスター側にとっての利点も多々あります。「まず設定項目が非常に簡潔で、必要最低限の項目を設定すればテストを実行できます。GUIもわかりやすく、ツールの使いこなしにかかる教育コストに比べて得られるパフォーマンスが高いため、かなり効率よく使用できるツールだと考えています」と戸谷氏は語ります。
サイバー攻撃に備えて対策を取る企業は増えてきているものの、ペネトレーションテストとなると、導入はまだ大企業に限られるのが実態です。しかしラックではPenteraを活用することで、規模や業種を問わず、より多くの企業にペネトレーションテストを実施し、リスクに備えてほしいと考えています。
「昨今では多くの会社がサイバー攻撃の被害にあっていますが、原因を調査すると、組織内部のセキュリティ検査や対策をしていなかった企業が非常に多いのが実情です。備えようにも手動でのペネトレーションテストはコストが高すぎて無理だと考えていたお客様に、まず第一歩として、Penteraを利用したテストを通して、一歩ずつセキュリティ対策を進めていただきたいと考えています」(戸谷氏)
高度なセキュリティ技術に強みをもつ独立系ITベンダーとして、大手企業や官公庁を始めとするさまざまな企業・団体にセキュリティやシステムインテグレーションのサービスを提供しています。セキュリティ領域では、コンサルティングから、体制構築支援、診断、監視・運用、緊急時の対応までを含むトータルソリューションを通じて、高度化する昨今のサイバー攻撃から企業を守ります。
記事は 2022年09月 取材・掲載のものです。
