ペネトレーションテストの方法|基本の手順やツール・サービスの活用法
新システムの完成後、そのまま運用を開始するのは非常に危険です。サイバー攻撃が多様化する昨今、ペネトレーションテストを実施してリリースするのが最も安全な流れです。しかし、ペネトレーションテストの方法を知っている人はそれほどいないでしょう。
本記事ではペネトレーションテストの概要と方法・流れ、ペネトレーションテストツールでできることを詳しく解説します。
目次
[ 開く ]
[ 閉じる ]
ペネトレーションテストとは
ペネトレーションテストとは、事前にシナリオを作成し、そのシナリオに沿って実際に攻撃者がどこまで侵入できるのかを調べる方法です。システム全体の弱点を洗い出す脆弱性診断とは異なり、より実践に近い形式で第三者が侵入できるかを、技術者の力で実際に診断する方法を指します。
ペネトレーションテストには、インターネットを経由してシステムや機器に侵入する「外部ペネトレーションテスト」と、外部から遮断されたシステム内部に対する「内部ペネトレーションテスト」があります。どちらも対象や検出できる成果が異なるため、一緒に受けておくと良いでしょう。詳しくはこちらの記事で解説しています。
ペネトレーションテストの方法・流れ
ペネトレーションテストは基本的に下記の流れで行われます。
【ペネトレーションテストの基本的な流れ】
- テストのシナリオを作成する
- 調査対象への攻撃を実施する
- テストの報告書を作成する
細かな流れは担当者や依頼先によって変わる可能性もあるものの、大まかには上記の手順で実施されると思っておけばいいでしょう。それぞれ詳しく解説します。
①テストのシナリオを作成する
ペネトレーションテストを実施するうえで、シナリオの作成は必須です。ペネトレーションテストにおけるシナリオとは、実際にハッカーが行うであろうサイバー攻撃を想定することです。多くの手段があるものの、その中でもテストの対象となるシステムなどを考慮し、想定されるシナリオを作成します。
考えうるすべての攻撃をシナリオ化し、実際にテストしても問題はありません。しかし、ペネトレーションテストはひとつにつき数週間~1ヶ月程度の時間がかかるため、あまり効率的ではありません。加えてテストの回数が増えることでコストもかさむため、特定のシナリオに限定するといいでしょう。
②調査対象への攻撃を実施する
シナリオ完成後、作成した手順に従って実際にシステムへの侵入を試みます。ペネトレーションテストに使用するツールを使用することもあれば、高度な技術を有する人材が手動で行うこともあります。
このフェーズでの注意点は、使用するツールや技術者の力量によって得られる結果が異なる可能性がある点です。ツールを使用する場合はその種類や操作方法で大きく結果が変わる可能性もあります。また、人材に関しても力量には個人差があるため、特に外注する場合は実績を確認して依頼先を選ぶようにしましょう。
③テストの報告書を作成する
攻撃実施後、テストの結果に基づいて報告書を作成します。報告書は書式が統一されていないため、テストを実施した委託先によって異なります。報告書はただ単に渡されるだけではなく、説明会形式で解説されることもあるでしょう。委託する場合は事前に報告書の取り扱いがどうなるのかを訪ねておくのがベストです。
自社で作成・報告会をする場合も同じですが、くれぐれも作成しただけで終わらないようにしてください。作成された報告書をもとに、打つべき対策について議論しましょう。
ペネトレーションテストの手法
ペネトレーションテストには以下の2種類があります。
| 手法 | メリット | デメリット |
|---|---|---|
| ホワイトボックステスト | 比較的短時間で結果を得られるうえ、費用対効果が高い | 事前にシステム情報を共有するため、得られる結果の制度がブラックボックステストより低い可能性がある |
| ブラックボックステスト | 事前にシステム情報が共有されないため、よりリアルな結果が手に入りやすい | 費用対効果がホワイトボックステストに劣る |
なお、上記の2種類のメリットを合わせた「グレーボックステスト」もあります。どちらか片方だけではなく、両方を生かしたテストが可能な場合もあるため、委託する場合は実施可能かどうかを確認してみましょう。
ホワイトボックステスト
ホワイトボックステストは、事前に委託先に対象システムの情報を共有してペネトレーションテストを行う手法です。攻撃者側は侵入する相手の情報がわかっているため、ブラックボックステストよりも短時間で効果を得られるでしょう。
反面、得られた結果はシステムの内容を知っている状態で侵入を実施することから現実性には欠けます。構造がわかってしまっているため、適切な被害規模や被害発生にかかる時間の計測には向いていない可能性も考えられます。
ブラックボックステスト
ブラックボックステストは、ホワイトボックステストと違って事前に対象のシステム情報を伝えずにテストを実施します。より本物の攻撃者に近い環境でのテストとなるため、得られる結果の精度がホワイトボックステストよりも高いという性質もあるでしょう。
ただし、ペネトレーションテストそのものには制限時間があります。そのため取得できる結果には限界があることも多く、思ったような効果が得られず費用対効果の悪さを感じてしまう場合も珍しくありません。
ペネトレーションテストツールの利用で何ができるか
対象となるシステムが小規模・シンプルなシナリオの場合、自社でペネトレーションテストを実施することも検討できるでしょう。その際に使用したいのがペネトレーションテストツールです。
有料版・無料版の2種類がありますが、機能面では有料版が優れています。しかし、ツールを使用したからと言ってすべてツール任せに出来るわけではありません。
ペネトレーションテストツールは対象のシステムやネットワークに対する基本的なチェックだけしかできないものや、テストの一定の部分で利用できるツールまでさまざまです。ペネトレーションテストツールはあくまでもペネトレーションテストのサポートが主な役割であることを理解しておかなければなりません。
また、自社でペネトレーションテストを実施するためには、技術力を持った人材が必要です。小規模のシステム・ネットワークを、自社にテストを実行できる人材がいる場合ならペネトレーションテストツールを利用してみる価値はあります。
ペネトレーションテストサービスがおすすめの理由
ペネトレーションテストツールを使って自社で実施する方法のほか、専門会社が提供するペネトレーションテストサービスを利用する方法もあります。高度人材がいない企業や、調査対象のシステムやネットワークの規模が大きい場合におすすめです。
費用は見積りが前提のため相場を明確に出すことはできません。ただし1回につき数百万円単位の費用がかかることを覚えておきましょう。
社内に人材がいる場合はペネトレーションテストツールを利用してもいいかもしれませんが、人材がおらず、より正確な成果を得たい場合にはおすすめです。
GMOサイバーセキュリティbyイエラエのペネトレーションテストを紹介
(引用:GMOサイバーセキュリティbyイエラエ)
「GMOサイバーセキュリティbyイエラエ」では、高い専門性と知識を持ったホワイトハッカーによるペネトレーションテストのサービスを提供しています。対象システムの特性や想定される脅威から攻撃シナリオ(攻撃の起点とテストのゴール)を設定しホワイトハッカーが疑似的なサイバー攻撃を行い現在のセキュリティ対策の有効性やリスクを評価します。
CSIRTの対応能力の向上やSOCの検知精度の確認、パスワード強化などの社内セキュリティ意識の向上におすすめです。実績も豊富な「GMOサイバーセキュリティbyイエラエ」で、御社のセキュリティ向上に努めましょう。お気軽にお問い合わせください。
まとめ
ペネトレーションテストを実施するには、その方法を理解して適切な評価を出せるものを選択することが重要です。ツールを使うかサービスを利用するかは調査を検討するシステムの規模や社内の人材の状況を鑑みて決定しましょう。ペネトレーションテストの方法がわからなければ、ペネトレーションテストサービスの利用をおすすめします。
文責:GMOインターネットグループ株式会社
