仮想通貨業界や金融業界、eコマース業界などで個人情報を狙ったサイバー攻撃は後を絶ちません。

これらの攻撃を未然に防ぐために、有用な手段の一つとして「ペネトレーションテスト」があります。

そこで本記事では、「ペネトレーションテスト」とは何か?どのような点に気を付けて運用していくべきかについて解説します。

「ペネトレーションテスト」とは?


ペネトレーションテストとは、日本語で「侵入テスト」と訳されるように、ネットワークにつながっているITシステムに対して、セキュリティ技術者が様々な技術を駆使した「疑似攻撃」を行うことで、システムやネットワークの脆弱性や問題点を発見したり、セキュリティ対策の有効性の判断などをするテスト手法です。


こう聞くと「脆弱性診断テストと何が違うのか」と思われる方もいるでしょう。

ペネトレーションテストと脆弱性診断との最大の違いは「網羅性」です。脆弱性診断は網羅的に行いますが、ペネトレーションテストは攻撃者が侵入し、情報を盗むという目的を達成しうる脆弱性を発見したり、セキュリティ対策の評価を行うテストなので、網羅的に行いません。したがってリスクの低い脆弱性については報告されないこともあります。


「ペネトレーションテスト」のメリットは、第一にシステムの脆弱性が安全に把握できることです。

サイバー攻撃は悪意を持った人間によって仕掛けられます。ペネトレーションテストではセキュリティ技術者が「攻撃者の視点」で、攻撃のシナリオに合わせて行います。攻撃を行うと行っても、あくまでも試験。安全に脆弱性の調査ができます。


第二に自社のシステム環境に合わせたテストができることです。

ペネトレーションテストは、テスト対象のシステムやネットワーク構成、セキュリティ対策などについてヒアリングし、シナリオを作成することから始まります。そしてその作成したシナリオに基づき、攻撃・侵入テストを実施します。つまり、自社に合ったテストが行えると言うことです。


そのテスト手法も「ホワイトボックステスト(システム内部の構造を把握した上で実施するテスト)」、「ブラックボックステスト(システムの内部構造は考慮せず、外部から見える機能に着目して実施するテスト)」などがあり、それらを組み合わせて実施します。また攻撃をいきなり仕掛けるのではなく、ソーシャル・エンジニアリングを用いられることもあります。


第三に脆弱性解決のための方策が得られること。

ペネトレーションテストの結果は、報告書としてまとめられます。報告書の中には具体的な対策方法が示されていることも多く、また実際に侵入された場合の被害額まで算出されることもあります。脆弱性を排除するための行動に移すことができるのです。

「ペネトレーションテスト」を実施する際に、気を付けるべきポイント


このようにペネトレーションテストは、セキュリティ技術の専門家によって行います。おそらくほとんどの企業では外部のセキュリティテストベンダーに依頼することになるでしょう。つまりペネトレーションテストの成果は、セキュリティテストベンダーや実施するセキュリティエンジニアの力量によって、左右されてしまうことがあるということです。実施する際には、そのベンダーの実績や評判などをきちんと検討することが必要でしょう。


第二のポイントは、大規模なシステムに対してテストを実施したり、技術的に難易度が高いテストを実施したりすると、それなりの時間とコストがかかってしまうことです。

ペネトレーションテストはシステム全体ではなく、ある特定の機能や組織に対してのみ実施することも可能なので、実施する範囲や内容について十分に検討する必要があるでしょう。

また、ペネトレーションテストはテストベンダーに依頼するのが一般的ですが、ペネトレーションテストが行えるツールも登場しています。そのようなツールを使うことも含めて、テスト実施前のヒアリングで、かけられるコストと時間などについて話し合いをすることも必要でしょう。


第三のポイントは、ペネトレーションテストは1度実施したら終わりではないということ。サイバー攻撃の技術は日々、進化しています。つまり、以前のペネトレーションテストで脆弱性が見つからなかったとしても、その後もずっと脆弱性がないわけではありません。ペネトレーションテストを定期的に実施し、脆弱性が見つかれば、それを改善していくというPDCAサイクルを回していくことが重要になるでしょう。

「ペネトレーションテスト」と「デジタルフォレンジック」でより備える


ペネトレーションテストは、事前防御のセキュリティ技術です。先述したように、サイバー攻撃は日々進化しています。セキュリティ対策に万全はなく、情報漏えいなどの被害がなくても、不正アクセスを許してしまうこともあるでしょう。


そのような際に必要な技術が、「デジタルフォレンジック」です。デジタルフォレンジックとは、不正アクセスや情報漏えいの訴訟となり得る商取引トラブルに備えて、法定で使えるような証拠を探し出す技術です。

デジタルフォレンジックは主にインシデント後の対応で使用されることの多い、あらゆる不正を見逃さないセキュリティ技術です。デジタルフォレンジックソリューションを導入することでカーネル層のデータの可視化が可能になるため、データ改ざんや原因不明のアクセスなどサイバー攻撃のすべての段階で証拠を収集・分析することができるようになります。

近年、多くの企業で設置が進んでいる「CSIRT(Computer Security Incident Response Team:シーサート。コンピュータセキュリティにかかるインシデントに対処するための専門組織)」でも、当たり前のソリューションとして注目および活用されています。


ペネトレーションテストで事前防御のためのセキュリティ対策を行い、確認作業としてデジタルフォレンジックでシステム内部に不正アクセスやマルウェアなどが侵入してないかを調査する。

この2つのソリューションを備えることで、より強力に重大インシデントから企業を守ることができるでしょう。

効果的なセキュリティ対策で日々進化するサイバー攻撃に備える!


セキュリティ対策は費用対効果が見えないとよく言われます。

しかし、一度でも情報漏えいが起こってしまうと、金額的に大きな損失を与えるだけではなく、顧客の信頼も失うなど、ビジネス的に大きなダメージを受けてしまいます。

サイバー攻撃は日々進化しています。今回は、事前防御に最適なペネトレーションテスト、あらゆる不正を見逃さないデジタルフォレンジックを紹介しました。

セキュリティ対策は様々な手法があります。1つだけでなく、複数を組み合わせて、より強固に自社の情報資産を守りましょう。