開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/01/11

実践!Webセキュリティ点検術(1)ペネトレーションテストとは何か

最新ペネトレーション式

情報漏えいの防止、内部統制をはじめ、昨今の情報システム部門に求められるセキュリティの課題は非常に多い。いかにセキュアなシステムを構築しているつもりであっても、思わぬところに落とし穴があればすべてが水泡に帰す。本特集では、守る側ではなく攻める側に立って自身のシステムをチェックする「ペネトレーションテスト(疑似侵入テスト)」のノウハウをご紹介するとともに、多角的なセキュリティに対する考え方を持つ必要性を説く。


執筆:吉成 大知、井蛙 官兵衛


※弊社および筆者はこの記事によって引き起こされた損害賠償責任、刑事責任、一切の責任を負いません。調査を実施する場合は、調査が許可されたテスト環境に対してのみ行ってください。場合によっては「不正アクセス禁止法」などに抵触することもあるので自己責任の上で十分に注意して実施してください。


実際に情報システムへの侵入を試みる試験

 ITエンジニアの方であれば、「ペネトレーションテスト(Penetration Test)」という言葉を何度か耳にしたことがあるだろう。この言葉を英和辞典で調べると、「貫通試験」などと書かれている。

 バイクが好きな方であれば、ヘルメットの安全性を担保するSNELL規格[注1]の試験項目の1つに「貫通試験」というものがあるのをご存じだろう。この試験は、先のとがったストライカというものを3メートルの高さからヘルメットに向けて実際に落とし、ストライカの先端がヘルメットをかぶる人頭模型に接触しなければ規格的に安全ということを調査するためのものである。バイクにおいては、このような試験を通して、設計上問題ないといわれたものが、実際の事故を想定したテストにおいても問題ないという結果を出さなければならない。

 同様に、ITの世界でいうペネトレーションテストとは、システムのセキュリティが有効に機能しているかどうかを実際に試験し、客観的な立場で調査するシステムテストのことである。このテストは情報システムに脆弱性があるかどうかを発見する手段の1つであり、安全性を向上させる、もしくは確保させる手段の1つでもある。ペネトレーションテストがその他の安全対策と異なる点は、犯罪者がシステムに攻撃するのと同様の手法でチェックするところだ(図1)。実際に情報システムへの侵入を試みるところから「疑似侵入テスト」「侵入実験」とも呼ばれる。

図1 ペネトレーションテストの概要
多角的な攻撃を行うことで安全性を診断する
図1 ペネトレーションテストの概要


ペネトレーションテストのこれまで

 ペネトレーションテストは、1990年代後半に米国で普及した。当時米国で普及した背景には大きく2つの理由がある。1つめの理由は、企業がインターネットのリスクを理解していなかったこと。1990年代さまざまな企業がインターネットに接続し始めた黎明期、当時はまだインターネットに接続するリスクやその情報はまだ十分に浸透していなかった。そのため、想像もしなかったような情報犯罪に巻き込まれることになった。

 2つめの理由は情報犯罪とその情報犯罪に対するノウハウをもった人材が現れたこと。1990年代は、軍隊に従事していた軍人が退役したことによって、軍で研究されていた技術をもった人が民間に移行した。

 また、ペネトレーションテストに触れる事柄が、"The Day After...in Cyberspace II"などの文献から読み取れる。これには1996年3月にDARPA(米国国防省高等研究計画局)がランド研究所に机上演習を依頼したと記されている。また、1997年6月に「エリジブルレシーバー(Eligible Receiver)」という実験をNSA(国家安全保障局)が行い、送電システムに入り込み大規模な停電を引き起こすことが可能であるという報告があった。

 日本では2002年に長野県が「市町村ネットワークの安全調査」として実施した結果を公表し、実施者であるEjovi Nuwereから「利用者側の環境に改善の余地がある」と指摘されたことは有名なエピソードである。


[注1]SNELL規格
アメリカのスネル記念財団が認定するヘルメットの安全規格。約5年ごとに規格の見直しが行われる。

Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!