ペネトレーションテストのイメージ

ペネトレーションテストとは?

ペネトレーションテストのイメージ

ハッキング技術やツールによりシステムの脆弱性を攻撃し、セキュリティ機能の回避または無効化を試みながらシステム内部へ侵入をします。

ペネトレーションテスト(略称:ペンテスト)とは、日本語で言いますと「侵入テスト」と言います。ペネトレーションテストは、システムへ侵入することを最大の目的としたテストであり、ただ既知の脆弱性を可視化することが目的ではありません。
また、「模擬ハッキング」とも言い、お客様から承諾の元、あらゆるハッキング技術やツールを使って脆弱な箇所に攻撃を行い、セキュリティ機能の回避または無効化を試みながらシステム内部へ侵攻出来るかをテストするものです。ペネトレーションテストの差は、ハッキング技術の差により生じるため、ホワイトハットハッカーの経験の差がそのままペネトレーションテストの差として現れます。
テストを検討される場合は、テストの目的レベルからセキュリティベンダーと色々情報交換をされる方が宜しいかと思います。
以下に、MITRE社が攻撃者の行動に注目したフレームワーク「ATT&CK」を提供しており、このフレームワークはペネトレーションテストを検討する際に、攻撃手法を理解するのに大変役にたつ情報が整理されています。
(※【参考】ATT&CK:MITRE

ペネトレーションテストと脆弱性診断の違い

脆弱性診断のイメージ

脆弱性診断は、サーバやネットワーク機器の診断やWebアプリケーションの診断に分かれ、それぞれ既知の脆弱性を発見し危険性をランク付けして報告をします。

両者の一番の違いは目的となります。ペネトレーションテストの目的は、システムに侵入し脆弱性を悪用してシステムコンポーネントのセキュリティ機能を回避または無効化の可能性の特定することです。脆弱性診断の目的は、悪用された場合に、システムの意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告です。
脆弱性診断は、ペネトレーションテストより網羅性が非常に高いですが、実際の攻撃を受けた際にセキュリティ機能が有効に機能するかまでの検査は行っていません。ペネトレーションテストでは、目的の定め方によってはそのようなテストを行うことも可能です。

脆弱性診断とペネトレーションテストの比較表

脆弱性診断 ペネトレーションテスト
目的 悪用された場合に、システムの意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告。 システムに侵入し、脆弱性を悪用してシステムコンポーネントのセキュリティ機能を、回避または無効化の可能性の特定。
手法 自動化ツールと手動プロセスの組合せで検証 脆弱性スキャンやその他自動ツールを使用するが、手動プロセス中心の検証
期間 ホスト当りでは、数分程度 テスト範囲や台数によりますが、数日から数週間

脆弱性診断は網羅性は非常に高いが、実際の攻撃を受けた際にセキュリティ機能が有効に機能するかの検査は行われておりません。

ペネトレーションテストの方法

実際にペネトレーションテストを行う際に抑えておくべき基本的な内容を説明します。流れでは各フェーズに沿って実行することが分けられ、種類や手法では外部と内部に分類されWhiteBox型とBlackbox型でやり方が異なります。型式は対象となるシステムや機器によって分類されテストの仕方がそれぞれ異なります。

ペネトレーションテストの流れ

ペネトレーションテストの流れは、準備フェーズ、実施フェーズ、実施後の対策フェーズと大きく3つのフェーズから構成されます。

フェーズ 内容
準備 テストの準備を行うフェーズでテスト対象の環境分析、要求分析、実施計画の作成、テスト環境の構築などのタスクから構成されます。
手法 実際にテストを行うフェーズで情報収集、分析、攻撃、レポート作成などのタスクから構成されます。テスト対象の環境は、
皆バラバラなためテスト対象に順応するように情報取集、分析、攻撃は段階的に何度でも繰り返しながら侵攻していきます。
期間 実施フェーズで報告した改善箇所に対し、適正な対策が実施されているかを確認するフェーズです。

ペネトレーションテストの種類と手法、型式について

ペネトレーションテストの種類と型式は、目的とテスト対象、情報の公開レベル、攻撃手法などより分類されます。

ペネトレーションテストの種類

ペネトレーションテストの種類は、セキュリティの境界線に基づく外部からのテストと、内部からのテストの2つに分類されます。Zero Trust(ゼロトラスト)やFail Safe(フェイルセーフ)の視点から考えますと、外部だけでなく内部からのペネトレーションテストも重要と指摘されています。

種類 説明 対象
外部
ペネトレーションテスト
インターネットからアクセス可能なシステムや機器に対するペネトレーションテストです。 公開サーバや機器、
システム
内部
ペネトレーションテスト
外部からアクセス出来ない内部システムに対するペネトレーションテストです。
仮に外部から侵入された場合や内部犯行を想定したテストとなります。
アプリケーションサーバ、
認証サーバ、
セキュリティシステム、
DBサーバなど

ペネトレーションテストの手法

ペネトレーションテストの手法はWhiteBox型、Blackbox型の2つに分類されます。 一般的にはBlackbox型でテストするケースが多いようですが、テストの生産性を考えますと、Whitebox型の方がより短時間で高い効果が期待できますPCI DSSのペネトレーションテストガイドラインでは、可能な限り情報を公開し実施することを推奨しており、最近はその中間のGraybox(グレーボックス)型で実施するケースが多くなっております。

手法 説明
Whitebox
(ホワイトボックス)型
テスト対象に関するシステム構成や機器情報などのシステム情報を事前に共有してテストする方法です。
Blackbox
(ブラックボックス)型
テスト対象に関するシステム構成や機器情報などのシステム情報を事前に共有せずにテストする方法です。
攻撃者は、時間をかければある程度の情報は入手可能です。
Blackbox型の場合は、限られた時間の中で限られた情報を元にテストすることとなるため、
費用対効果の面ではWhitebox型より劣る可能性があります。

ペネトレーションテストの型式

ペネトレーションテストの型式は大きく4つに分類されます。対象となる機器やシステムによってテストの目標や情報公開レベルに応じて実施します。

型式 説明 対象
シナリオ型 テスト目的に応じて、考えられる攻撃シナリオを複数想定し、テストする方法です。
VDI基盤やADシステムなどは、単に侵入の可否をテストするのではなく、
侵入からクライアントやサーバの権限昇格、認証情報の取得、内部への侵攻、
データ持出しと、攻撃目的を達成するには、複数の攻撃シナリオから構成されており、
このようにテストするのがシナリオ型テストです。
VDI基盤、
Active Directoryシステム、
リモートワーク環境、
ソフトウェア製品
脅威リード型
(脅威ベースの
ペネトレーションテスト
(TLPT))
シナリオ型と似ていますが、より戦略的なアプローチで、
脅威やリスクベースの評価に基づくテスト方法です。
脅威リード型のペネトレーションテストの必要性を唱えたのは英国の金融当局で、
英国をはじめ欧州や香港では、当局が関与するTLPTが多く実施されています。
【参考】諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に
関する報告書の公表について
金融システムや
同等のセキュリティ基準を
求めるシステム
PCI DSS向け PCI DSSが定めたペネトレーションテストのガイドラインに沿って実施するテストです。
PCI DSSでは、守るべき情報資産とシステムが明確に定められており、
それに沿って対策が実施されることが求められます。
カード情報を処理するシステム、
ECサイト
組込みシステム向け 組込みシステムの場合は、ペネトレーションテストというより模擬ハッキングと
言った方が誤解が少ないかも知れません。組込みシステムの一番の脅威は、
バックドアに成りえる脆弱性の存在です。
またIoT機器などは攻撃者が物理的に入手可能な場合があり、
リバースエンジニアリングは最大の脅威と成ります。
組込み機器やシステム、
IoT機器

ペネトレーションテストのレポート(報告書)

当社ペネトレーションテストのレポートは、PCI DSSのガイドランを参考にしたレポート構成となります。また、テスト実施後のレポート以外にも、実施前のテスト計画書の提示、日次の作業進捗報告も行います。

レポート構成

No. 項目 説明/備考
1. はじめに
2. Executive Summary レポートの要約を記載
3. テスト範囲 ペネトレーションテストを行ったシステムの範囲と内容
4. テスト方法 種類や手法や型式に関して記載
5. テストにおける制限
6. テストの進行状況
7. ペネトレーションテスト結果
7.1 総合評価
7.2 各シナリオのテスト結果 シナリオをもとに実施した場合、各結果を記載
7.3 ペネトレーションテスト結果の詳細
8 テスト担当者と使用ツール 当社のセキュリティエンジニアの氏名と使用したテストツールを記載
8.1 テスト担当者
8.2 テスト環境 システム環境の詳細を記載
8.3 使用ツール
9 テスト終了後の処理 テストをするために設定したシステムや代理サーバなどを設置した場合は、
原状復帰をするための処理作業を記載
10 評価方法と評価基準 評価の仕方と基準の詳細を記載

ペネトレーションテストの費用

ペネトレーションテストの費用は、テスト種類、形式により必要となるスキルが大きく変わってくるため価格には大きな開きがあります。シナリオ型や脅威ベース型の場合には、個別に攻撃ツールをカスタマイズするケースもあり500万円から数千万円と非常に高額となります。一番安価なのは、Blackbox型による外部ペネトレーションではないでしょうか。数十万からと安く提供するベンダーもあるようですが脆弱性診断との違いがあまり無いように見受けらるケースがあります。
当社のペネトレーションテストは210万円から種類や手法、型式によって金額が変動します。具体例の一部を表す「ユースケース」と合わせて御覧ください。

当社のペネトレーションテスト価格例

サービス名 内容 価格
外部/内部ペネトレーションテスト テスト要件をヒヤリングのうえ具体的なテスト内容と費用をご提案 2,100,000円〜
PCI DSS向けペネトレーションテスト
(ネットワーク、アプリケーション)
組込みシステムに対する
ペネトレーションテスト

ユースケース(ペネトレーションテスト)

当社で提供するペネトレーションテストの具体例の一部で、様々なシナリオを元に実践的なテストを実施します。

ペネトレーションテストとPCI DSSの関連性

PCI DSSが定めたペネトレーションテストのガイドラインに沿って実施するテストです。PCIDSSでは、守るべき情報資産とシステムが明確に定められており、それに沿って対策が実施されることが求められます。対象となるものはカード情報を処理するシステムやECサイトが該当します。

PCI DSSとは?

PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

当社のペネトレーションテストとPCI DSS要件との関連性

PCI DSS要件11.3では「年に一度および大幅な変更後のペネトレーションテスト」と定められています。当社の「PCI DSS向けペネトレーションテスト」では、要件11.3等のガイドラインに基づき実施し、見つかった脆弱性を用いてシステム権限の取得を試みるテストなどを重視して行います。

PCI DSS要件表

要件 内容
要件11.3 年に一度および大幅な変更後のペネトレーションテスト

【参考】PCI Security Standards Council:PCI DSS 準拠を達成するための優先的なアプローチ

サービス対応表

サービス名 該当するPCI DSS要件 追記事項/診断項目
ペネトレーションテスト 要件11.3等のガイドラインに基づくペネトレーションテスト 見つかった脆弱性を用いて、
システム権限の取得を試みるテスト

対象サービス

ペネトレーションテスト

外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向け

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう危険性があるかなどをテストをします。 当社が提供するペネトレーションテストは「外部/内部ペネトレーションテスト」と「PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)」と「組込みシステムに対するペネトレーションテスト」があります。

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30