開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/02/07

実践!Webセキュリティ点検術(2)無駄を省いて網羅するコツ

ペネトレーションテストの流れ

情報漏えいの防止、内部統制をはじめ、昨今の情報システム部門に求められるセキュリティの課題は非常に多い。いかにセキュアなシステムを構築しているつもりであっても、思わぬところに落とし穴があればすべてが水泡に帰す。本特集では、守る側ではなく攻める側に立って自身のシステムをチェックする「ペネトレーションテスト(疑似侵入テスト)」のノウハウをご紹介するとともに、多角的なセキュリティに対する考え方を持つ必要性を説く。第2回は無駄を省いて網羅するためのコツ、テストの流れについて解説する。


執筆:吉成 大知、井蛙 官兵衛


※弊社および筆者はこの記事によって引き起こされた損害賠償責任、刑事責任、一切の責任を負いません。調査を実施する場合は、調査が許可されたテスト環境に対してのみ行ってください。場合によっては「不正アクセス禁止法」などに抵触することもあるので自己責任の上で十分に注意して実施してください。


どこからのペネトレーション(侵入)を想定するのか

 ペネトレーションテストの計画を策定するに当たって、まずはどこからペネトレーション(侵入)を実施するかを明確にしなければならない。なぜなら、守るべき対象となるシステムの防御体制が、意図したとおりに機能しているかを判断する必要があるからだ。これは設計段階で想定された機能が有効に機能しているかというチェックになる。以下は、どこからの脅威であるかを決定する分類のある一例である。

A. 外部からの脅威を想定する→「インターネットからの脅威」
B. 内部からの脅威を想定する →「LANからの脅威」
C. ファイアウォール(以下F/W)を突破されたときの脅威を想定する →「DMZからの脅威」

 Aは、外部者による脅威を想定するケースである。インターネット経由で対象システムにアクセスしてくる不特定多数の攻撃者からの、対象システムの防御体制を検証する。日本のシステム担当者は、まずこの点を確認することが多い。Bは、内部の人間、もしくは、無線LANなどによって内部ネットワークに接続された場合の脅威を想定している。社内LANや内部ネットワークから守るべき対象システムの防御体制を検証する。Cは、AやBから、さらに進んだ脅威を想定するケースである。たとえばAのパターンにおいて、もし何かしらの理由で、第一の防御体制(F/Wなど)が無効化されて、内部サーバの1台が乗っ取られ、さらに他の内部サーバなどに攻撃を試みられていたり、外部への攻撃を開始された場合の防御体制を検証する。強固で堅牢さを必要とされる重要なシステムには、このように二重、三重のペネトレーションテストが実施される。

どこまでテストを実施するべきか

 次に「どのような脆弱性が存在し」「その脆弱性によって損失を発生させる事態がどのように発生するのか」に合わせて、ペネトレーションテストの実施方法を検討する。以下は、攻撃の深度(実施方法)による分類例である。

a. 対象システムにおける脆弱性の有無を確認する→「脆弱性があるのかどうか」
b. 対象システムの脆弱性の深度を追求する→ 「報告される脆弱性にはどのようなリスク(損害)が発生するのか」

 a.は、対象システムにおいてシステム管理者が意図していない脆弱性が存在しないかを、ペネトレーションテストで調査、確認することを目的とする場合である。たとえば、公開を意図していないサービスが稼働していないか、脆弱性のあるサービスが稼働していないか、あるいは、認証サービスにおいて、脆弱なパスワードが存在していないか、という視点でペネトレーションテストを実施する。この場合、脆弱性の有無を確認するのが目的であるから、脆弱性を発見したならそのサービスに対する調査は一旦終了となる。ペネトレーションテスト実施後の「対策」にて、その脆弱性を潰すことが最終的な目的だからである。ゆえに、その脆弱性を突いて、さらなる試験を試行したりしない。該当する脆弱性が潰せれば、さらなる侵入はありえないとの考え方に基づくからだ。

 一方のb.は、狭義でのペネトレーションテストに相当する。つまり、ある脆弱性が発見されると、その脆弱性を攻撃して、さらなる侵入を試行する。これにより、実際の攻撃者にどこまで侵入される可能性があるかという、具体的な「危機」を可視化することができる。システムに詳しい人にすれば、やや冗長なテストとなる場合もあるが、経営層など組織の上位者へのアピール度は格段に増す。また、発見された脆弱性を本当に潰す必要があるのかなど対策の方向性を決定する際にも、有用な情報を取得することができる。

 また、場合によってはDoS(Denial of Service)攻撃を実施するケースもある。これはDoS攻撃に対し、どの程度まで耐えうるのかをを調査するためである。DoS攻撃では、対象システムへの「侵入」を目的としない。単に正当なユーザーに正常なサービスを提供できなくすることが目的となる。規模の大きなDoS攻撃(DDoSなど)は抜本的な対策が難しく、パフォーマンンスアップを行うか一時的に回避するかなどと言った方法しかない。bの手法を用いることによって、どのレベルのDoS攻撃であれば、どの程度の可用性が確保できるのかを調査し、それを経営者へ説明することも可能となる。

Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!