• 会員限定
  • 2021/12/20 掲載

不審者か?「ペンテスター」か? 物理的侵入テストの功罪

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
セキュリティ対策活動として「ペンテスター」を使った物理的侵入テストが増えている
(Photo/Getty Images)

正しく実施すれば効果も高い物理的侵入テスト

 最初に断っておくが、本稿は物理的侵入テストを否定するものではない。サイトやシステムの脆弱性診断や侵入テスト(ペネトレーションテスト、通称ペンテスト)と同様に有効なセキュリティ対策活動の1つである。だが、この例に限らず、トレンドや流行に乗った安易な実施や過度な期待はやけどの元である。

 これはテストを依頼する側だけでなく、企業からの依頼を受けて実施するセキュリティベンダー側にも言えることだ。この認識を新たにするため、ペンテストの意義や目的について改めて整理してみたい。

 ペンテストはシステムの堅牢性、安全性を検証する手法の1つと言える。システムの保護機能やセキュリティ対策が有効に機能しているか、それが破られたとき警報や検知が迅速に行えるか、といった点を検証することが主な目的となる。そのために、第三者(ペンテスター)が疑似的なサイバー攻撃やハッキングを行い、保護機能が有効か、脆弱性や穴(セキュリティホール)がないかを調べる。その結果をレポートとしてまとめることで、システムの堅牢性や耐攻撃性を明らかにする。問題があれば対策の改善につなげる。

画像
ペンテスターは実際にハッキングツール等を使用して模擬侵入する
(Photo/Getty Images)

脆弱性診断との違い

 類似のテストに脆弱性診断というものもある。よくペンテストとともに語られるが、脆弱性診断とペンテストは実施の目的と手法が異なる。脆弱性診断では、主に既知の脆弱性への対策ができているか、脆弱性が残っていないかを調べる。診断の中で実際にサイトやシステムにアクセスする場合もあるが、自動化ツールや検証ソフトウェアを利用した静的なチェックが主体となる。


 たとえば、ソフトウェアのバージョンやシステムが利用しているライブラリを調べて、既知の脆弱性をチェックするといった具合だ。ソースコードを解析して、バッファオーバーフローやSQLインジェクションのような脆弱性がないかをチェックすることもある。業務フローを解析して、手順の不備によるトラブルや障害、サイバー攻撃につながる危険性はないかを調べることもある。脆弱性やリスクの有無は診断できるが、防御機能、保護機能が有効化までの判断はできない。脆弱性診断は、セキュリティ要件の静的診断とも言える。既知の脆弱性や問題の発見・検証に有効である。

 対してペンテストは、ブラックリストテスト的な動的テストに近い。実際の模擬侵入にはハッキングツールなどを利用して一部自動化されるが、多くはペンテスターの手作業となる。既知の脆弱性の発見の他、未知および見落としていた脆弱性や問題の発見が可能だ。侵入時のシステムの挙動、保護機能有効性、実際の防御力、具体的な被害範囲などを知る手がかりも得られる。

【次ページ】訓練メールのリアルさにこだわった結果…

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます