ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

セキュリティ ペネトレーションテストについてぜい弱性診断との違いも含めて詳しく解説

ペネトレーションテストについてぜい弱性診断との違いも含めて詳しく解説

ペネトレーションテストは、自社のシステムのセキュリティ強度を確認する有効な手段として知られています。簡単にいえば、このテストはサイバー攻撃についての知識やスキルを持つ技術者が実際にシステムに対する模擬攻撃を行い、その結果を調べるというものです。ペネトレーションテストの内容や一般的なぜい弱性診断との違い、メリット・デメリットなどについて解説します。

ペネトレーションテストとは

ペネトレーションテストとは、企業や組織が利用している(もしくは構築したばかりの)インターネットに接続されているコンピューターシステムに対し、外部からの悪意のある攻撃者がよく用いる方法や技術による侵入を試みて、システムにセキュリティ上のぜい弱性がないかをチェックする手法を指します。

テストのための擬似的な攻撃を行うのは、ホワイトハットハッカーと呼ばれるようなサイバー攻撃やセキュリティに詳しい専任の技術者です。ペネトレーション(Penetration)は「貫通」や「侵入」を意味する言葉です。

ペネトレーションテストのメリット・デメリット

まずメリットとして挙げられるのが、実際にシステムに侵入できるのかという具体的な検証ができることです。ペネトレーションテストではサイバー攻撃を仕掛ける側の視点に立って、正規ではない技術や方法も駆使しながらシステムへの侵入を試みるため、非常にリアリティのあるテストができます。

また、テストのためのシナリオは、対象となるシステムの構成、使用されているハードウェアやソフトウェアの種類などについて、すべて調べ上げたうえで作成します。つまり、自社の環境に個別に対応したテストを実施することができます。

そしてもう一つのメリットは、一般的なセキュリティ対策を社内の人間が実施する場合、すべてのぜい弱性の確認をするのは時間も手間もかかりますが、ペネトレーションテストであればもっと効率的・効果的に、第三者視点からの自社環境の弱点を知ることができます。

一方、デメリットは、テスト実施者のレベルによって結果が左右されることでしょう。ある技術者が問題なしとしたシステムでも、ほかのもっと高いレベルの知識を持った技術者がテストをすると問題が見つかるかもしれません。また、大規模なシステムに対して精密なテストをしようとすればその分、費用も高くなります。その場合、システムの一部に対象を限定してテストを行うことも可能です。

ペネトレーションテストとぜい弱性診断の違い

ペネトレーションテストと似たセキュリティサービスに、ぜい弱性診断があります。

ぜい弱性診断はシステムを構成しているネットワークやOS、ミドルウェア、アプリケーションなどのぜい弱性を調査し、診断するものです。ぜい弱性とは主に各種のソフトウェアに潜むセキュリティ上の欠陥や弱点、問題点のことを指します。

ぜい弱性診断は、システムにぜい弱性がないかどうかをチェックすることを目的としたテストです。そのため、システムに関連する箇所のセキュリティを網羅的にチェックしていきます。それに対し、ペネトレーションテストは実際の攻撃を想定したテストであるという点が異なります。

また、ぜい弱性診断は自動ツールを使用して診断を行うことができ、ホストあたりの所要時間は数分から長くても数時間程度です。それに対し、ペネトレーションテストは自動ツールも使用しますが、基本的に手動による作業が中心となるため、システムの規模やテスト範囲によって数日から数週間かかります。

ペネトレーションテストの実施方法

ペネトレーションテストは次のようなプロセスで実施します。

準備段階

テストの準備フェーズ。ヒアリングによる要求分析を経てテスト対象となるシステムの環境、構成などを分析し、テスト範囲と内容を決定してテスト用の攻撃シナリオを作成します。また、テストを実施するためのツールの準備、ログ取得のためのセッティングなどを行います。

テスト実施

攻撃テストを実施します。テストには外部からの侵入を試みる外部ペネトレーションテストと内部へ侵入できたことを想定した上での内部ペネトレーションテストがあります。また、システム内部の構造や設計書・ソースコードなどを参照しながら行うホワイトボックステストとそれらを参照せず外部からわかる情報のみで模擬的な攻撃を行うブラックボックステストがあります。

ぜい弱性が発見された場合、そのぜい弱性によってどのような被害が及ぶ可能性があるのかを調査します。あるいは機密情報などにターゲットを絞り、システムに侵入してから情報へのアクセスが可能かどうかをテストする場合もあります。

レポート

テスト実行ログをもとに、発見されたぜい弱性などに関するテスト結果を伝えるためのレポートを作成します。

サイバー攻撃の巧妙化や多様化が進むにつれて、ペネトレーションテストの重要性も増しています。自社のシステムが客観的に見て攻略しやすいシステムなのか、それとも堅牢なセキュリティ対策によって守られた攻略しづらいシステムなのかを確認するために、サイバー攻撃やセキュリティに詳しいホワイトハットハッカーによるテストを受けることを検討してみてはいかがでしょうか。
日立ソリューションズ・クリエイトでもセキュリティ診断サービスを提供しています。サービスの詳細はこちらをご覧ください。