ペネトレーションテストとは?脆弱性診断との違いや実施メリットを解説
昨今、サイバー攻撃は組織化されており、企業活動に重大な影響を与えるような被害が頻繁に発生しています。 サイバー攻撃への対処として、従来から多くの企業・組織で脆弱性診断を実施されてきましたが、脆弱性診断だけでは実際にサイバー攻撃を受けた際にどのような被害が想定されるかを予測する事は困難です。 このような問題に対処するために有効な手段が、ハッカー目線で疑似攻撃を実施する「ペネトレーションテスト」です。 今回はこのペネトレーションテストの概要を紹介し、脆弱性診断との違いについて解説していきます。
- ペネトレーションテストとは
- ペネトレーションテストの必要性
- 脆弱性診断とペネトレーションテストの違い
- ペネトレーションテストを自社で実施するメリット
- 自社のセキュリティ状況を定量的に可視化し、継続的な改善を or いよいよ他人事ではなくなった「サイバー攻撃」or 最後に
ペネトレーションテストとは
ネットワーク上のコンピュータ等に対して、実際にハッカーが利用するテクニックを用いてアクセス権を奪取し、侵入を試みるテストです。
ペネトレーションテストでは実際に外部から攻撃を受けた場合にどのような被害が発生するのか、具体的にはどのコンピュータ、システムが乗っ取られ、どのような情報が搾取されるのか、提供しているサービス等へどのような影響があるのかを想定する事が可能です。
ペネトレーションテストはこのように具体的な被害の想定が出来るため、重要情報/資産の安全性を担保する上で非常に有効な手段ですが、ペンテスターと呼ばれる専門的な知識を持った検査員がシステムの状況を見ながら手動で検査を実施する必要があるため、検査できる対象が限られる、検査費用が高額という問題点が有り、金融機関等、非常に重要な情報を扱う一部の組織しか実施できていないというのがこれまでの現状でした。
しかしながら、昨今では高度に自動化された検査ツールが開発されており、そのようなツールを用いる事で広範囲かつ安価にペネトレーションテストを実施できるようになってきています。
ペネトレーションテストの必要性
ペネトレーションテストはなぜ必要なのでしょうか?
言うまでも無く現在の企業活動は多くの部分をコンピュータシステムに依存しており、コンピュータシステムの安定運用、情報漏えい等のリスクに対する対処は重要課題となっています。
特に昨今はコロナウィルス感染拡大に伴うリモートワークの拡大や、クラウドサービスの利用に伴う構成の複雑化などにより、従来以上のセキュリティ対策が必要となってきています。
ペネトレーションテストを実施する事で企業のコンピュータシステムにおける具体的な問題点の洗い出しと、想定される被害が提示されますので、より効果的な対処を実施しやすくなり、また経営層に対してもセキュリティに対する投資の必要性を説明する重要な情報となります。
脆弱性診断とペネトレーションテストの違い
非常によく聞かれるポイントですが、脆弱性診断と何が違うのか、脆弱性診断で十分ではないかという点について解説します。
まず脆弱性診断とはソフトウェア等の欠陥をリストアップするものです。
脆弱性診断はセキュリティ対策の第一歩として非常に重要であり、現状の把握、致命的な脆弱性に対する対処は非常に有効です。
しかしながら、脆弱性診断ではどのシステムにどのような問題が存在するかを把握する事は出来ますが、具体的にそれらの脆弱性を利用されて起こりえる被害を想定する事は困難です。
特に、企業に対して致命的な影響を与えるハッカーによる攻撃では、単一の脆弱性のみが用いられる事はほとんど無く、複数の脆弱性を組み合わせた上で攻撃が実施され、そのような場合の被害想定は出来ません。
また、一度侵害を受けたシステムからその他のシステムに対して攻撃が実施される、いわゆるラテラルムーブメントの影響を予測する事も出来ません。
ペネトレーションテストでは存在する脆弱性を利用した攻撃を実施した上で起こりえる被害を明らかにするので、より具体的な影響度を確認する事ができ、有効な対策に結びつける事を容易にします。
ペネトレーションテストを自社で実施するメリット
従来、ペネトレーションテストは外部の専門家に依頼するのが一般的であり、自社での運用は一部の例外を除いてほとんど行われてきていませんでした。
しかしながら、外部への委託は主に費用の面からごく限られたシステムに対して、年1回から多くても年4回程度しか実施できていないというのが実情でした。
しかも、検査の計画から結果を得られるまでには数ヶ月の期間を要し、結果が出た頃には情報が古くなっている事もしばしばです。
自社で自動化ツールを用いたペネトレーションテストを実施する事で、以下のように多くの問題点を解決できます。
・幅広いシステムへの検査
例え重要なサーバーが堅牢に守られているとしても、そのサーバーの管理者の端末が脆弱であれば、全体として脆弱なシステムになってしまいます。
よって、重要資産の検査だけでは不十分で幅広いシステムへの検査がより安全な環境を実現します。
・定期的な検査の実施
例えば年1回の検査では、検査を実施した翌日に新たな脆弱性や問題点が発生した場合、1年間見過ごされる事にもなりかねません。
定期的な検査はシステムの安全性を守る上で非常に重要です。
・問題点の早期改善
自社でペネトレーションテストを実施する事により、発見された問題点に素早く対処し、すぐに再検査を実施する事が可能です。
・コスト削減
ペネトレーションテストの有用性はわかっていても、費用の面から実施できていないという組織は少なくありません。
自動化ツールを用いて自社で運用する事により、大幅なコスト削減が可能です。
自社のセキュリティ状況を定量的に可視化し、継続的な改善を or いよいよ他人事ではなくなった「サイバー攻撃」or 最後に
セキュリティ対策は攻撃と防御のいたちごっこです。何か新たな脅威が話題になるたび新たなソリューションを追加してきたものの、本当に効果があるのか、自社のどこに穴が残っているのかが見えにくい部分があります。
ペネトレーションテストの実施は、サイバー攻撃への効果的な対処を可能とし、またセキュリティに対する投資の効率化にも貢献します。
また、自動ツールによって継続的にテストを実施することで、自社の状況が改善されているのか、それとも悪化しているのかといった時系列での変化も把握でき、セキュリティ対策の状況を可視化し、経営層に対しても適切な情報提供が可能となります。
セキュリティ体制を確実に強化し、成熟度を上げていくことが、今後安定的な企業活動を維持する上で必要不可欠なITインフラを安全に維持する上で重要になるでしょう。
本物さながらのサイバー攻撃を自動的に実行し問題点をレポートする「PenTera」