ペネトレーションテストとは?

2020.06.09

Webセキュリティ

ペネトレーションテストとは?

ペネトレーションテストという言葉を聞いたことはありますか?ペネトレーションテストとはインターネットに接続されているシステムへ意図的にサイバー攻撃を実施して、システムに侵入される恐れのある脆弱性がないか調査するセキュリティ診断を言います。この記事ではペネトレーションテストについての解説と脆弱性診断との違いを説明します。

 

目次

ペネトレーションテストとは?

ペネトレーションテストは、無差別的に行うようなサイバー攻撃ではなく、特定のシステムを標的にしたサイバー攻撃や内部犯行を想定しており、テスト対象のシステムやネットワーク構成に合わせて個別に行います。このような攻撃を仕掛けるのは技術レベルの高い攻撃者が多いため、テスト実施者は、攻撃者以上にシステムやセキュリティについて高い技術レベルを持ち合わせているセキュリティエンジニアなどです。

 

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断はどちらもコンピュータシステムに対するセキュリティテストのひとつという点では同じですが、診断の目的に違いがあります。

 

ペネトレーションテストでは、特定のシステムが特定の意図を持った攻撃者の標的にされた際に、攻撃者が悪用可能な脆弱性があるか、そしてその攻撃が成功して攻撃者の目的が達成され得るかを運用状況なども含めて検証します。

 

ペネトレーションテストでは特定の組織のシステム全体を対象とします(指定されたシステムを対象とする場合もあります)。調査方法として、実際の攻撃者が使用しているツールやそのシステムに存在する脆弱性、ソーシャルエンジニアリングなどを利用して一定期間内に目的を達成できるかどうかの調査を行います。 テストを実施する際には遠隔操作を行う疑似マルウェアを用いたり、組織の内部ネットワークの端末やサーバーへの侵入を繰り返したり、Active Directoryなどのシステムへの攻撃を行い管理者権限を奪ったりすることもあります。

 

参照 : GitHub – ueno1000/about_PenetrationTest: ペネトレーションテストについて

 

攻撃者の明確な目的としては機密情報の摂取などがあり、サイバー攻撃による機密情報の漏洩は企業が受けるダメージの大きい問題のひとつです。

 

一方、脆弱性診断ではWebアプリケーション単体やプラットフォーム単体をテスト対象として、脆弱性などセキュリティ上の不備の有無を確認する必要最低限の内容にとどめられた調査を行います。網羅的な調査を行いますが、ペネトレーションテストのような実際の攻撃を行うことはありません。

 

脆弱性診断の手法としては脆弱性スキャンツールがよく知られており、既知の脆弱性の検出に有効です。また、合わせて手動での診断を行うことにより、脆弱性スキャンツールでは検出できない問題点を調査することができます。

 

ペネトレーションテストのメリットとデメリットとは?

次に、ペネトレーションテストのメリットとデメリットについて説明します。

 

ペネトレーションテストのメリット

ペネトレーションテストを実施するメリットは、特定のシステムへの特定の意図を持った攻撃を想定して個別にテストシナリオを作成するため、定型的なテストではなくシステムの特性が反映された内容となることです。そして、システム毎のコンサルティングレポートが提供され、レポート結果の報告と、実施した方がよい対策についてアドバイス得られることも大きなメリットです。

 

ペネトレーションテストのデメリット

ペネトレーションテストはテスト対象のシステムやネットワーク構成に合わせて個別にテストシナリオを作成し、セキュリティエンジニアなどの技術者が手動やツールを用い、実際の攻撃者を模して攻撃を行います。そのため、ツールによる定型的なテストを活用する脆弱性診断と比べると費用が高額となりがちです。さらに、技術者のレベルによっては、テスト結果にばらつきが出る可能性もあります。

 

ペネトレーションテストまとめ

セキュリティ診断サービスである、ペネトレーションテストについての説明と脆弱性診断との違いについて解説しました。それぞれテストを行う目的が異なるため、目的に応じて必要な診断内容を見極めた上での実施が推奨されています。

 

サイバー攻撃を可視化・遮断する「攻撃遮断くん」

ペネトレーションテストとは? クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。

ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。

ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。