ペネトレーションテストについて
高度標的型攻撃やランサムウェアなど企業を狙うサイバー攻撃による被害のニュースが後を絶ちません。また、IoT(モノのインターネット)技術を活用したスマートホーム、スマートシティやコネクティッドカー、新しい生活様式により利用者が急増するWebサービスやオンラインゲームなどへのサイバー攻撃も増加しています。このように、攻撃者の狙う対象が幅広くなってきている中、重要な情報やサービスをどのように守ればよいのかが組織にとっての課題となっています。高度化・多様化するサイバー攻撃への対策の1つが、疑似的な攻撃を行うことでセキュリティ上の問題点を洗い出す「ペネトレーションテスト」です。
ペネトレーションテストとは
ペネトレーションテストとは、サイバー攻撃を再現した疑似攻撃を用いて、対象システムに対して「攻撃者の目的」が達成できてしまうか実証するテストです。例えば、「対象のシステムから機密情報を窃取する」という「攻撃者の目的」を設定した場合、その目的が実現できるか脆弱性を悪用しシステムへの侵入を試み、機密情報を窃取できるかあらゆる攻撃手法を実行します。このように、目的を達成するために必要な場合システムへの侵入を試みる疑似攻撃も行われることや、「ペネトレーション(penetration)」の単語の意味が「侵入」であることから、「侵入テスト」と呼ばれることもあります。
ペネトレーションテストでは、まず「機密情報の窃取」や「重要データの改ざん」など、具体的な攻撃者の「目的」(=ゴール)を定めて、そのゴールを満たすための攻撃シナリオを設定します。その攻撃シナリオを元に、ペネトレーションテストを担当する「ペンテスター(ペネトレーションテスター)」が攻撃者の視点で調査や疑似攻撃を試行します。
ペネトレーションテストを行うことで、自組織のシステムやサービスがもしサイバー攻撃を受けたらどうなるか、という観点で「対象システムの攻撃耐性」や「攻撃による侵害の影響範囲」の確認が可能です。
ペネトレーションテストの効果
ペネトレーションテストでは、実際のサイバー攻撃に対して現在のセキュリティ対策がどれほど有効かを確認します。このテストの結果をもとに、自組織のシステムやサービス、開発製品などがサイバー攻撃を受けた場合にどのような影響があるかを把握し、具体的な改善策を導き出すことができます。つまり、実際のサイバー攻撃を想定したより効果的なセキュリティ対策を立てることが可能です。
さらに、ペネトレーションテストには以下のような副次的な効果もあります。
- 組織全体のセキュリティ意識の向上:ペネトレーションテスター(ペンテスター)による攻撃者の視点での調査および、疑似攻撃の実施、改善策の提案を受けることは、社内のセキュリティ意識を高め、組織全体のセキュリティ対策を強化するための一助となります。
- ビジネスの信頼性の向上:予防措置としてサイバー攻撃を未然に防ぐ対策を講じることで、ビジネスの信頼性と評判を向上させる助けとなります。
ペネトレーションテストとセキュリティ診断(脆弱性診断)との違い
「対象となるサーバやアプリケーションなどの脆弱性を網羅的に確認する」ことができる「セキュリティ診断(脆弱性診断)」(以下、脆弱性診断)というサービスがあります。
「ペネトレーションテスト」と「脆弱性診断」は目的が異なるため、目的によって使い分ける必要があります。ラックでは脆弱性診断を「対象システムの脆弱性を網羅的に確認する診断」、ペネトレーションテストを「現実的な攻撃シナリオを用いて、『攻撃者の目的』が対象システムにおいて達成できてしまうか実証するテスト」と位置付けています。
目的がシステムにおける脆弱性の発見であれば脆弱性診断を、サイバー攻撃を受けた場合の被害がどうなるかを確認することであればペネトレーションテストを選定するなど、どのサービスであれば目的を満たせるのかを検討する必要があります。
(ラック「セキュリティ診断レポート 2020 春 〜標的型攻撃への次の一手『ペネトレーションテスト』の最新情報」より)
ラックのペネトレーションテスト
サイバー攻撃手法に関する高度な知見と最先端の技術を持つラックの「ペンテスター」が、攻撃者視点で行う実践的な疑似攻撃で、潜在する脅威を実証します。
企業・工場・制御システム等のネットワークやクラウド上の社内システム、IoT家電やコネクティッドカー、車載システムやネットワーク機器、オンラインゲームやWebサービスなどに関するセキュリティの知見・豊富な調査実績があり、様々な環境に対してペネトレーションテストが可能です。
情報システムペネトレーションテスト
お客様の情報システム(社内外のネットワークシステム)において、PC端末のマルウェア感染または外部公開サーバへの侵入を前提として、ネットワーク経由での疑似攻撃による侵入可否や、侵入後の展開可能範囲を攻撃的手法により検証。
ネットワークセキュリティに精通したペンテスターが多層防御の全体をまるごと深みのある検証を実施、改善点をすべて報告。
情報システムペネトレーションテスト エクスプレス
本物のサイバー攻撃を模した「疑似攻撃」の手法を標準化し、短期間かつ低コストでのペネトレーションテストを実現。
ペネトレーションテストで培ったノウハウを活用した調査を行い、実際のサイバー攻撃を模した「疑似攻撃」によって調査対象の機器の侵害が可能かどうかを評価。
情報システムペネトレーションテスト エクスプレスについて詳しく見る
TLPT(脅威ベースのペネトレーションテスト)
現実のサイバー攻撃を模した実戦形式の演習を通して、お客様側の防御や検知といった対応を評価し改善策を提案。
診断・監視・緊急対応・コンサルティングをはじめとするラックの豊富な知見を活用し、お客様のサイバー攻撃への対応能力(レジリエンス)の向上を支援。
TLPT(脅威ベースのペネトレーションテスト)について詳しく見る
IoTデバイスペネトレーションテスト
IoT機器およびそのシステムへの侵入テストで、サイバー攻撃被害を未然に防ぐ改善策を提案。
CPUのアーキテクチャー、OS、通信プロトコルに関する豊富な知見、基板やデバイスに関する知見、ファームウェアの高度な解析技術を持つペンテスターが、低レイヤーを含めたIoTシステム全体へ攻撃者視点で調査。
アプリケーションペネトレーションテスト
アプリケーションの不正利用がされないか、実際に攻撃して脆弱性をあぶり出し改善策を提案。
Webアプリケーションやクライアントアプリケーションなど様々な調査実績を持つペンテスターが、攻撃者目線で実際にアプリケーションを動作させ、実現可能な攻撃・不正行為を検証。
チート対策ペネトレーションテスト
チート行為からゲームを守るために、疑似攻撃とソースコード解析で脆弱性を発見・改善策を提案。
ゲームセキュリティを熟知したセキュリティエンジニアが、攻撃者視点でソースコードを確認するホワイトボックステストと疑似チート攻撃を行い、ゲーム全体の脆弱性の有無を調査。
ペネトレーションテストの流れ
※ 具体的な流れは各サービスによって異なります。詳細な内容は各サービスページをご覧ください。
1. 事前打ち合わせ
ペネトレーションテストの対象についてヒアリングいたします。
※ 必要に応じて秘密保持契約(NDA)を締結します。
2. ご提案、契約
ヒアリング内容をもとに最適な攻撃シナリオを含めたペネトレーションテストを提案いたします。
3. ペネトレーションテストの実施
事前に取り決めた攻撃シナリオに沿ってペネトレーションテストを実施します。
4. ご報告
ペネトレーションテストを実施した結果として、攻撃シナリオの達成可否や検出したセキュリティ上の問題点と、その改善策を報告いたします。報告会を実施する場合もあります。
※ 1~4までの流れを実施した場合の所要期間はおよそ2か月です。実施内容によって期間は変動します。