開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/06/13

実践!Webセキュリティ点検術(3)抑えておきたい6つの対策、8つのチェック

ペネトレーションテストの実施手順

情報漏えいの防止、内部統制をはじめ、昨今の情報システム部門に求められるセキュリティの課題は非常に多い。いかにセキュアなシステムを構築しているつもりであっても、思わぬところに落とし穴があればすべてが水泡に帰す。本連載では、守る側ではなく攻める側に立って自身のシステムをチェックする「ペネトレーションテスト(疑似侵入テスト)」のノウハウをご紹介するとともに、多角的なセキュリティに対する考え方を持つ必要性を説く。第3回は具体的にペネトレーションテストを実施する手順についてご紹介する。


執筆:吉成 大知、井蛙 官兵衛


※弊社および筆者はこの記事によって引き起こされた損害賠償責任、刑事責任、一切の責任を負いません。調査を実施する場合は、調査が許可されたテスト環境に対してのみ行ってください。場合によっては「不正アクセス禁止法」などに抵触することもあるので自己責任の上で十分に注意して実施してください。


具体的な実施手順

 さて、いよいよ具体的な実施手順について説明していきたい。ペネトレーションテストの実施手順は、将棋の局面のようにそれぞれ特徴がある。その局面は「序盤」「中盤」「終盤」と大きく分けて考えることができる(図1)。

外部からの脅威に対するペネトレーションテスト実施手順の大枠

※クリックで拡大


 「序盤」は情報収集の局面である。対象システムの情報を取得し、その情報を基にさらなる情報を取得するなど、「中盤」に向けての布石を打つ。この局面では確立された「定石」があり、本章で紹介する「バナーチェック」までがこれに相当する。

 「中盤」は、対象システムに実際に侵入が可能かどうかを検証する。別の言い方をすれば、攻撃を試行する局面である。本章で紹介する「パスワード推測」や次章以降で紹介する「Webサーバのセキュリティチェック」が相当する。

 「終盤」は詰めの局面である。「Exploitコード」の実行や「DoS攻撃」がこれに相当する。対象システムが「Exploitコード」や「DoS攻撃」に対して脆弱であった場合、システムに侵入できてしまう可能性もあるほか、対象システムやサービス自体がダウンしてしまう場合もある。そうなってしまうと、さらなる検証は極めて困難になる。つまり、これらの攻撃は最後の手段としておく必要があり、必然的に「終盤」に行われることになる。

 このような6つの対策に加えて、やっておきたいのが下記に記載する8つのチェックである。

1.公開情報のチェック  公開情報とは、ネットワーク上などで広く公開されている対象システムの情報である。たとえば、WebサイトのURLやWHOIS情報、DNS情報などが公開情報に相当する。これらの情報をチェックすることで、攻撃のヒントとなるような不用意な情報が漏えいしていないか確認する(画面1)。

画面1 ANSIによるWHOIS情報の例



2.ホストアップチェック

 ホストアップチェックとは、対象システムにアクセスが可能かどうかをチェックすることである。これにより、想定外のサーバやサービスが立ち上がっていないか、またF/Wなどによって正しくアクセス制御が実施されているかを調査できる。ホストアップチェックの結果で得られたアクセス可能であったIPアドレスと実際のシステムを突き合わせることで、非公開のサーバなどが正しく防御されていることを確認することにもなる。

Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!