開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/12/20

不審者か?「ペンテスター」か? 物理的侵入テストの功罪

2019年、米国のある裁判所に忍び込んだ2名が逮捕された。セキュリティ業界では「アイオワの件」といえばピンとくる人も多い、ペンテスター(侵入テストをやる人)が物理的侵入テストの際中に逮捕されたという事件だ。度重なる企業への標的型攻撃被害、コロナ禍によるゼロトラストネットワークの導入により、システムの脆弱性診断や侵入テストに注目する企業も増えている。物理的侵入テストは日本でも実施例を聞くようになったが、どのようなメリットと注意点があるのだろうか。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
セキュリティ対策活動として「ペンテスター」を使った物理的侵入テストが増えている
(Photo/Getty Images)

正しく実施すれば効果も高い物理的侵入テスト

 最初に断っておくが、本稿は物理的侵入テストを否定するものではない。サイトやシステムの脆弱性診断や侵入テスト(ペネトレーションテスト、通称ペンテスト)と同様に有効なセキュリティ対策活動の1つである。だが、この例に限らず、トレンドや流行に乗った安易な実施や過度な期待はやけどの元である。

 これはテストを依頼する側だけでなく、企業からの依頼を受けて実施するセキュリティベンダー側にも言えることだ。この認識を新たにするため、ペンテストの意義や目的について改めて整理してみたい。

 ペンテストはシステムの堅牢性、安全性を検証する手法の1つと言える。システムの保護機能やセキュリティ対策が有効に機能しているか、それが破られたとき警報や検知が迅速に行えるか、といった点を検証することが主な目的となる。そのために、第三者(ペンテスター)が疑似的なサイバー攻撃やハッキングを行い、保護機能が有効か、脆弱性や穴(セキュリティホール)がないかを調べる。その結果をレポートとしてまとめることで、システムの堅牢性や耐攻撃性を明らかにする。問題があれば対策の改善につなげる。

画像
ペンテスターは実際にハッキングツール等を使用して模擬侵入する
(Photo/Getty Images)

脆弱性診断との違い

 類似のテストに脆弱性診断というものもある。よくペンテストとともに語られるが、脆弱性診断とペンテストは実施の目的と手法が異なる。脆弱性診断では、主に既知の脆弱性への対策ができているか、脆弱性が残っていないかを調べる。診断の中で実際にサイトやシステムにアクセスする場合もあるが、自動化ツールや検証ソフトウェアを利用した静的なチェックが主体となる。


 たとえば、ソフトウェアのバージョンやシステムが利用しているライブラリを調べて、既知の脆弱性をチェックするといった具合だ。ソースコードを解析して、バッファオーバーフローやSQLインジェクションのような脆弱性がないかをチェックすることもある。業務フローを解析して、手順の不備によるトラブルや障害、サイバー攻撃につながる危険性はないかを調べることもある。脆弱性やリスクの有無は診断できるが、防御機能、保護機能が有効化までの判断はできない。脆弱性診断は、セキュリティ要件の静的診断とも言える。既知の脆弱性や問題の発見・検証に有効である。

 対してペンテストは、ブラックリストテスト的な動的テストに近い。実際の模擬侵入にはハッキングツールなどを利用して一部自動化されるが、多くはペンテスターの手作業となる。既知の脆弱性の発見の他、未知および見落としていた脆弱性や問題の発見が可能だ。侵入時のシステムの挙動、保護機能有効性、実際の防御力、具体的な被害範囲などを知る手がかりも得られる。

【次ページ】訓練メールのリアルさにこだわった結果…

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!