ペネトレーションテスト(略称:ペンテスト)とは日本語で「侵入テスト」を意味し、システム全体の観点でサイバー攻撃耐性がどのくらいあるかを試す為に、悪意のある攻撃者が実行するような方法に基づいて実践的にホワイトハットハッカーがシステムに侵入することです。
また、「模擬ハッキング」とも言い、お客様から承諾の元、あらゆるハッキング技術やツールを使って脆弱な箇所に攻撃を行い、セキュリティ機能の回避または無効化を試みながらシステム内部へ侵攻出来るかをテストするものです。ペネトレーションテストの差は、ハッキング技術の差により生じるため、ホワイトハットハッカーの経験の差がそのままペネトレーションテストの差として現れます。
テストを検討される場合は、テストの目的レベルからセキュリティベンダーと色々情報交換をされる方が宜しいかと思います。
以下に、MITRE社が攻撃者の行動に注目したフレームワーク「ATT&CK」を提供しており、このフレームワークはペネトレーションテストを検討する際に、攻撃手法を理解するのに大変役にたつ情報が整理されています。
(※【参考】ATT&CK:MITRE)
両者の一番の違いは目的となります。ペネトレーションテストの目的は、システムに侵入し脆弱性を悪用してシステムコンポーネントのセキュリティ機能を回避または無効化の可能性の特定することです。脆弱性診断の目的は、悪用された場合に、システムの意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告です。
脆弱性診断は、ペネトレーションテストより網羅性が非常に高いですが、実際の攻撃を受けた際にセキュリティ機能が有効に機能するかまでの検査は行っていません。ペネトレーションテストでは、目的の定め方によってはそのようなテストを行うことも可能です。
脆弱性診断 | ペネトレーションテスト | |
---|---|---|
目的 | 悪用された場合に、システムの意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告。 | システムに侵入し、脆弱性を悪用してシステムコンポーネントのセキュリティ機能を、回避または無効化の可能性の特定。 |
手法 | 自動化ツールと手動プロセスの組合せで検証 | 脆弱性スキャンやその他自動ツールを使用するが、手動プロセス中心の検証 |
期間 | ホスト当りでは、数分程度 | テスト範囲や台数によりますが、数日から数週間 |
脆弱性診断は網羅性は非常に高いが、実際の攻撃を受けた際にセキュリティ機能が有効に機能するかの検査は行われておりません。
企業や団体が情報セキュリティに取り組む目的は、セキュリティにおける脅威と脆弱性が存在するためです。リスクアセスメント(特定・分析・評価)をすることで講じるべき対策が見えてきます。また情報セキュリティの可用性を意識する上で、災害に備えてシステムバックアップを実施することも必要です。
アプリケーションエンジニアがアプリケーションセキュリティに取り組む目的は、アプリケーションに潜む脆弱性を攻撃者が悪用し、アプリケーション内に保管されている情報資産を窃取することを防止するためです。
実際にペネトレーションテストを行う際に抑えておくべき基本的な内容を説明します。流れでは各フェーズに沿って実行することが分けられ、種類や手法では外部と内部に分類されWhiteBox型とBlackbox型でやり方が異なります。型式は対象となるシステムや機器によって分類されテストの仕方がそれぞれ異なります。
ペネトレーションテストの流れは、準備フェーズ、実施フェーズ、実施後の対策フェーズと大きく3つのフェーズから構成されます。
フェーズ | 内容 |
---|---|
準備 | テストの準備を行うフェーズでテスト対象の環境分析、要求分析、実施計画の作成、テスト環境の構築などのタスクから構成されます。 |
手法 | 実際にテストを行うフェーズで情報収集、分析、攻撃、レポート作成などのタスクから構成されます。テスト対象の環境は、 皆バラバラなためテスト対象に順応するように情報取集、分析、攻撃は段階的に何度でも繰り返しながら侵攻していきます。 |
期間 | 実施フェーズで報告した改善箇所に対し、適正な対策が実施されているかを確認するフェーズです。 |
ペネトレーションテストの種類と型式は、目的とテスト対象、情報の公開レベル、攻撃手法などより分類されます。
ペネトレーションテストの種類は、セキュリティの境界線に基づく外部からのテストと、内部からのテストの2つに分類されます。Zero Trust(ゼロトラスト)やFail Safe(フェイルセーフ)の視点から考えますと、外部だけでなく内部からのペネトレーションテストも重要と指摘されています。
種類 | 説明 | 対象 |
---|---|---|
外部 ペネトレーションテスト |
インターネットからアクセス可能なシステムや機器に対するペネトレーションテストです。 | 公開サーバや機器、 システム |
内部 ペネトレーションテスト |
外部からアクセス出来ない内部システムに対するペネトレーションテストです。 仮に外部から侵入された場合や内部犯行を想定したテストとなります。 |
アプリケーションサーバ、 認証サーバ、 セキュリティシステム、 DBサーバなど |
ペネトレーションテストの手法はWhiteBox型、Blackbox型の2つに分類されます。 一般的にはBlackbox型でテストするケースが多いようですが、テストの生産性を考えますと、Whitebox型の方がより短時間で高い効果が期待できますPCI DSSのペネトレーションテストガイドラインでは、可能な限り情報を公開し実施することを推奨しており、最近はその中間のGraybox(グレーボックス)型で実施するケースが多くなっております。
手法 | 説明 |
---|---|
Whitebox (ホワイトボックス)型 |
テスト対象に関するシステム構成や機器情報などのシステム情報を事前に共有してテストする方法です。 |
Blackbox (ブラックボックス)型 |
テスト対象に関するシステム構成や機器情報などのシステム情報を事前に共有せずにテストする方法です。 攻撃者は、時間をかければある程度の情報は入手可能です。 Blackbox型の場合は、限られた時間の中で限られた情報を元にテストすることとなるため、 費用対効果の面ではWhitebox型より劣る可能性があります。 |
ペネトレーションテストの型式は大きく4つに分類されます。対象となる機器やシステムによってテストの目標や情報公開レベルに応じて実施します。
型式 | 説明 | 対象 |
---|---|---|
シナリオ型 |
テスト目的に応じて、考えられる攻撃シナリオを複数想定し、テストする方法です。 VDI基盤やADシステムなどは、単に侵入の可否をテストするのではなく、 侵入からクライアントやサーバの権限昇格、認証情報の取得、内部への侵攻、 データ持出しと、攻撃目的を達成するには、複数の攻撃シナリオから 構成されています。 |
VDI基盤、 Active Directoryシステム、 リモートワーク環境、 ソフトウェア製品 |
脅威リード型 (脅威ベースの ペネトレーションテスト (TLPT)) |
シナリオ型と似ていますが、より戦略的なアプローチで、 脅威やリスクベースの評価に基づくテスト方法です。 脅威リード型のペネトレーションテストの必要性を唱えたのは英国の金融当局で、 英国をはじめ欧州や香港では、当局が関与するTLPTが多く実施されています。 【参考】諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に 関する報告書の公表について |
金融システムや 同等のセキュリティ基準を 求めるシステム |
PCI DSS向け | PCI DSSが定めたペネトレーションテストのガイドラインに沿って実施するテストです。PCI DSSでは、守るべき情報資産とシステムが明確に定められており、 それに沿って対策が実施されることが求められます。 |
カード情報を処理するシステム、 ECサイト |
組込みシステム向け | 組込みシステムの場合は、ペネトレーションテストというより模擬ハッキングと 言った方が誤解が少ないかも知れません。組込みシステムの一番の脅威は、 バックドアに成りえる脆弱性の存在です。 またIoT機器などは攻撃者が物理的に入手可能な場合があり、 リバースエンジニアリングは最大の脅威と成ります。 |
組込み機器やシステム、 IoT機器 |
当社ペネトレーションテストのレポートは、PCI DSSのガイドランを参考にしたレポート構成となります。また、テスト実施後のレポート以外にも、実施前のテスト計画書の提示、日次の作業進捗報告も行います。
No. | 項目 | 説明/備考 |
---|---|---|
1. | はじめに | |
2. | Executive Summary | レポートの要約を記載 |
3. | テスト範囲 | ペネトレーションテストを行ったシステムの範囲と内容 |
4. | テスト方法 | 種類や手法や型式に関して記載 |
5. | テストにおける制限 | |
6. | テストの進行状況 | |
7. | ペネトレーションテスト結果 | |
7.1 | 総合評価 | |
7.2 | 各シナリオのテスト結果 | シナリオをもとに実施した場合、各結果を記載 |
7.3 | ペネトレーションテスト結果の詳細 | |
8 | テスト担当者と使用ツール | 当社のセキュリティエンジニアの氏名と使用したテストツールを記載 |
8.1 | テスト担当者 | |
8.2 | テスト環境 | システム環境の詳細を記載 |
8.3 | 使用ツール | |
9 | テスト終了後の処理 | テストをするために設定したシステムや代理サーバなどを設置した場合は、 原状復帰をするための処理作業を記載 |
10 | 評価方法と評価基準 | 評価の仕方と基準の詳細を記載 |
ペネトレーションテストの費用は、テスト種類、形式により必要となるスキルが大きく変わってくるため価格には大きな開きがあります。シナリオ型や脅威ベース型の場合には、個別に攻撃ツールをカスタマイズするケースもあり500万円から数千万円と非常に高額となります。一番安価なのは、Blackbox型による外部ペネトレーションではないでしょうか。数十万からと安く提供するベンダーもあるようですが脆弱性診断との違いがあまり無いように見受けらるケースがあります。当社のペネトレーションテストは種類や手法、型式によって金額が変動します。また、様々なシナリオを元に実践的なテストを実施する為、具体例の一部を表す「ユースケース」と合わせて御覧ください。
PCI DSSが定めたペネトレーションテストのガイドラインに沿って実施するテストです。PCIDSSでは、守るべき情報資産とシステムが明確に定められており、それに沿って対策が実施されることが求められます。対象となるものはカード情報を処理するシステムやECサイトが該当します。
PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
PCI DSS要件11.3では「年に一度および大幅な変更後のペネトレーションテスト」と定められています。当社の「PCI DSS向けペネトレーションテスト」では、要件11.3等のガイドラインに基づき実施し、見つかった脆弱性を用いてシステム権限の取得を試みるテストなどを重視して行います。
要件 | 内容 |
---|---|
要件11.3 | 年に一度および大幅な変更後のペネトレーションテスト |
【参考】PCI Security Standards Council:PCI DSS 準拠を達成するための優先的なアプローチ
サービス名 | 該当するPCI DSS要件 | 追記事項/診断項目 |
---|---|---|
ペネトレーションテスト | 要件11.3等のガイドラインに基づくペネトレーションテスト | 見つかった脆弱性を用いて、 システム権限の取得を試みるテスト |
システム運用はセキュリティの脅威から守るためにも必要とされる大切な業務です。システム運用の大まかな定義は24時間365日、問題なくシステムを稼働させるための業務です。システムを構成しているサーバやネットワーク機器はコンピュータで精密機器のため、突然故障する可能性もあります。それがシステム障害の原因になるため、エンジニアが障害を未然に防止するような対策や業務を行ったりバックアップをとるようなシステム構成を考えたり、様々な知識や技術を用いながらシステム運用の業務に取り組んでいます。従ってシステム運用とは、システムの正常状態を維持し、状況に合わせて変化、拡張させることを意味します。
アイティーエムはシステムマネジメント事業を主軸とするMSP事業者です。当社が考えるMSPは「MCSSP」と呼び、新しいシステムマネジメントサービスの形態です。
MCSSP = 「MSP(Managed Service Provider)」+「CS(Cloud & Security)」
従来から存在するMSP(Managed Service Provider)事業をベースとして、昨今のIT環境にて特に注目されている「クラウド利用」と「セキュリティ対策」をより強化したサービスでお客様の安心・安全で、快適なシステム運用をご支援します。
詳しくは下の画像をクリックしサービスサイトをご覧ください。