サイバーセキュリティテスト：定義と種類"

サイバーセキュリティは、個人、企業、政府にとって深刻な結果をもたらす可能性のある多様な脅威から、デジタルシステム、ネットワーク、データを保護するため不可欠です。&

デジタル宇宙の利用方法はここ数年で劇的に変化しました。特にパンデミック以降、個人生活と仕事の両面で、働き方や遊び方、交流の仕方に変化が迫られたことが大きな要因です。

企業においては、システムやデータへのリモートアクセスが一般的となり、多くの組織がシステムやデータをクラウドに移行しました。個人にとっては、モバイル端末からいつでもどこでもソーシャルメディアや企業アプリを利用できるようになったことで、公共空間におけるWiFiアクセスの爆発的な増加をもたらしました。オンラインショッピングも多くの場合、店舗への足を運ぶ代わりに利用されるようになりました。

残念ながら、オンライン活動の急増に対して、企業や個人のセキュリティ対策が当初は追いついていませんでした。端的に言えば、デジタル基盤の犯罪が大幅に増加したのです。企業レベルでは、データバンクが襲撃され、後々の窃盗に利用可能な情報が盗まれます。DDoS攻撃やランサムウェア攻撃企業システムへのアクセスを遮断し事業に損害を与えるために利用される。個人は偽のECサイトやフィッシングメールに晒されている。

悪意ある、あるいは偶発的な脆弱性悪用によるランサムウェア攻撃やデータ窃盗のニュースは毎日のように報じられている。最近のマイクロソフトシステムアップグレードの失敗では航空管制システムがダウンし、米国だけで3,000便以上の便に影響が出た。

こうした脅威から企業と個人を守るため、サイバーセキュリティが不可欠です。しかし、いかに包括的なセキュリティ環境を整えても、ユーザーがメール内のフィッシングリンクをクリックしたり、偽サイトに銀行カード情報を入力したりすれば、その防御は突破されてしまいます。

サイバーセキュリティテストとは？

新たなサイバー脅威は日々出現しています。慎重な企業はすべて、通常の業務手順の一環として、継続的なサイバーセキュリティ評価と更新プログラムを実施しています。あらゆる開発・導入プログラムと同様に、テストはプロセスに不可欠な要素です。サイバーセキュリティプラットフォームへの誤った適用や欠陥のある変更・追加は、ビジネスプロセスにあらゆる混乱を引き起こす可能性があります。

サイバーセキュリティテストの種類

サイバー脅威は多種多様です。AIロボットによって加速するネットワークベースの自動化脅威から、ハッカー主導の侵害やデータ窃盗まで多岐にわたります。このため、サイバーセキュリティ環境では、統合されながらも機能的に分離された一連の防御策が展開されます。それぞれに独自のテスト環境、テストプログラム、成功指標が存在します。テストはシミュレーション環境、リアルタイム環境、運用ログのレビューを通じて実施可能です。

主なサイバーセキュリティテストの種類は以下の通りです：

1. 脆弱性スキャン

• 既知の問題をスキャンすることで、システム・ネットワーク・アプリケーション内の脆弱性を特定する自動化プロセスです。ソフトウェアの古さ、設定ミス、パッチ未適用など、潜在的なリスクを包括的に可視化します。
• 稼働中のシステムに対して実施可能です。

2. ペネトレーションテスト（ペネテスト）

• ペネトレーションテストは、システム、アプリケーション、またはネットワークのセキュリティを評価するために、現実世界のサイバー攻撃を模擬します。倫理的ハッカーとして知られるセキュリティ専門家が脆弱性を悪用し、攻撃者がどのように不正アクセスを得る可能性があるかを判断しようと試みます。
• このテストは稼働中のシステムでも実施可能ですが、テストによるダウンタイムの影響が本番環境に影響しない時間帯に実施するのが最適です。

3.セキュリティ監査

• 組織のセキュリティポリシー、手順、および管理措置を包括的に検証し、業界標準や規制要件（例：ISO 27001、HIPAA）に準拠していることを確認します。監査ではセキュリティ対策の全体的な有効性を評価します。
• これは継続的なプロセスです。新たな脅威や脆弱性は日々発生しており、状況を把握し続けるためには定期的な監査が不可欠です。

4.リスク評価

• A リスク評価 は、組織の資産に対する潜在的な脅威を評価し、これらのリスクの発生可能性と影響度を判断します。より強固なセキュリティ対策が必要な重要領域を特定するのに役立ちます。&
• 脅威は絶えず変化するため、大規模ネットワークでは常時、小規模ネットワークでは定期的な実施が求められる継続的なプロセスであるべきです。

5. レッドチーム対ブルーチームテスト

• レッドチームテスト: 敵対チーム（「レッドチーム」）による現実世界の攻撃をシミュレートし、セキュリティ防御の有効性を評価する手法。&
• ブルーチームテスト: “ブルーチーム”は、これらの模擬攻撃から防御し、演習中および演習後にセキュリティ態勢のギャップを特定します。
• これは、SQLインジェクション、クロスサイトスクリプティング（XSS）、その他の一般的なWebベースの脅威などの脆弱性を特定することで、Webアプリケーションのセキュリティをテストすることに焦点を当てています。OWASP ZAPやBurp Suiteなどのツールがよく使用されます。

6. ネットワークセキュリティテスト

• ネットワークセキュリティテストでは、未保護のアクセスポイント、不適切な設定、公開ポートなどの脆弱性を特定し、ネットワークのセキュリティを評価します。ポートスキャン、ファイアウォールテスト、侵入検知システム（IDS）チェックなどの手法が含まれます。

7.ソーシャルエンジニアリングテスト

• これは、フィッシング詐欺フィッシング攻撃、スピアフィッシング、またはプレテクスティングをシミュレートすることで、従業員がソーシャルエンジニアリング戦術にどの程度適切に対応できるかを評価します。

8. ワイヤレスセキュリティテスト

• 無線ネットワークのセキュリティに焦点を当て、WiFiセキュリティ、暗号化、アクセスポイントに関連するリスクを評価します。

9. モバイルアプリケーションセキュリティテスト

• ウェブアプリケーションテストと同様に、モバイルアプリ内の脆弱性を特定し、不正アクセスやデータ漏洩などの脅威から機密データを保護することを目的とします。

10. 物理的セキュリティテスト

• この種のテストでは、物理デバイス、データセンター、インフラのセキュリティを評価し、アクセス制御メカニズム、監視、その他の物理的セキュリティ対策が効果的であることを確認します。

各テストの種類は、組織のセキュリティに関する独自の洞察を提供し、より強固で回復力のあるサイバーセキュリティフレームワークの構築に貢献します。

サイバーセキュリティテストにおける主要な技術と手法

これまで見てきたように、サイバー脅威は多種多様です。これは、それらを阻止するためのサイバーセキュリティツールも多種多様でなければならないことを意味します。その結果、ツールが正常に機能し、通常の業務に影響を与えないことを確認するためのサイバーセキュリティテストも多種多様でなければならないのです。

ISECOMというオープンソース組織は、サイバーセキュリティテストを網羅した包括的なマニュアルを開発しました。彼らは自らを次のように説明しています：「2001年1月、セキュリティとオープン手法研究所（ISECOM）は『オープンソースセキュリティテスト手法マニュアル（OSSTMM）』の無料公開を開始しました。これはセキュリティのテスト、分析、実装方法を大幅に改善するための動きでした。様々な分野の研究者たちが、商業的利益や政治的意図ではなく事実に基づいたオープンな手法の必要性を認識し、自らの経験と知識を提供しました。”

いくつかのアプローチを詳細に見ていきましょう：

静的解析

サイバーセキュリティテストにおける静的解析とは、アプリケーションのソースコード、バイナリ、またはバイトコードを実行せずに検査するプロセスを指します。組織は主に、開発段階でアプリケーションのセキュリティ脆弱性、コーディングエラー、潜在的な弱点を特定するためにこれを利用します。この手法により、コードがデプロイされる前に、ソフトウェア開発ライフサイクル（SDLC）の早い段階で問題を発見できます。

サイバーセキュリティテストにおける静的解析の主要な側面

• セキュリティ脆弱性の早期発見
  • 静的解析により、コードの実行やデプロイ前にセキュリティ問題を特定できるため、開発プロセス後半での脆弱性修正に関連する時間とコストを節約できる。
  • 検出される一般的な脆弱性には、バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング（XSS）、不安全なコーディング慣行、未処理の例外処理などがあります。
• 自動分析と手動分析
  • 自動化ツール: 静的解析は通常、脆弱性やセキュリティ基準への準拠を検出するためにコードを自動的にスキャンする専用ツールを使用して行われます。
  • 手動レビュー:自動ツールでは検出できない論理的欠陥や複雑な脆弱性を捕捉するため、セキュリティ専門家によるコードの手動レビューが行われる場合があります。
• 包括的なカバレッジ
  • 組織は静的解析を様々なプログラミング言語やプラットフォーム（Webアプリケーション、モバイルアプリケーション、組込みシステムなど）に適用できます。
  • 入力検証の不備から不十分なエラー処理まで、幅広い潜在的なセキュリティ上の欠陥をカバーするのに役立ちます。
• DevOps（DevSecOps）への統合
  • 静的解析ツールは継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインに統合可能であり、開発プロセス中の脆弱性の自動テストと特定を容易にします。

静的解析のメリット

• 早期の問題検出: 開発の初期段階でセキュリティ脆弱性を特定することで、問題修正に必要なコストと労力を削減できます。
• 自動化: 自動化されたツールは大量のコードベースを迅速に分析できるため、プロセスを効率的かつ拡張可能にします。
• コード品質の向上: セキュリティ脆弱性に加え、静的解析はデッドコード、到達不能な文、最適化されていないロジックなど、一般的なコード品質の問題の検出にも役立ちます。
• セキュリティ基準への準拠: 静的解析を実行することで、組織はアプリケーションが業界標準（例：OWASP Top 10、SANS/CWE Top 25）に準拠していることを保証できます。

静的解析の限界点

• 誤検知: 静的解析ツールは誤検知を生成する可能性があり、安全なコードを脆弱性として誤ってフラグ付けすることがあります。これにより、問題のない箇所の調査に余分な時間が費やされる可能性があります。
• カバレッジの限界: 静的解析は一般的なセキュリティ脆弱性の特定には優れていますが、より複雑で文脈依存の問題を見逃す可能性があります。
• 実環境シナリオの欠如: 静的解析はコードを実行しないため、環境固有の設定や依存関係によって引き起こされるような実行時脆弱性を検出できません。

静的テストの主な制限は、その名の通り「静的」である点です。攻撃が発生する可能性が高い実環境でのテストは行われません。そこで活躍するのが動的テスト、つまり稼働中のシステムをテストする方法です。

動的解析

サイバーセキュリティテストにおける動的解析とは、アプリケーションやシステムが稼働中に分析を行い、実行時のみ検出可能な脆弱性や弱点を特定するプロセスを指します。コードを実行せずに検証する静的解析とは異なり、動的解析では稼働環境と対話し、アプリケーションが実環境でどのように動作するかをテストします。これにより、入力処理の不備、データフロー、メモリ、環境固有の設定に起因する実行時脆弱性を検出するために不可欠となります。

サイバーセキュリティテストにおける動的解析の主要な側面

1. 実行時動作テスト

• 動的解析は、アプリケーションがリアルタイムのデータや入力にどのように反応するかを評価し、SQLインジェクション、クロスサイトスクリプティング（XSS）、認証の欠陥、セッション管理の問題などの脆弱性を特定するのに役立ちます。
• このテストでは、エラー処理、データ検証、リソース管理など、正常時または異常時の状況下でのシステムの動作が明らかになります。

2. ブラックボックステスト:

• 多くの場合、動的解析はブラックボックステストとして実施可能です。この場合、テスターはアプリケーションの内部動作を把握していません。内部動作に関する知識を持たない状態で実施できます。これは外部攻撃者が脆弱性を悪用するためにシステムとどのようにやり取りするかをシミュレートします。

3. 包括的な脆弱性検出

• 動的解析は、コードと環境の相互作用に依存する脆弱性の発見に特に効果的です。例えば：
• 入力検証の問題：ユーザー入力が適切にサニタイズされず、SQLインジェクションなどの攻撃につながるケース。
• メモリ管理エラー：バッファオーバーフローやメモリリークなど。
• 認証・認可の欠陥：ユーザーロールやアクセス制御が不適切に実装されている場合。
• セッション管理の問題：セッションハイジャックや不適切なセッション期限切れなど。

動的解析における一般的な手法

1. ファジングテスト（ファジング）

• 概要: アプリケーションに予期しない入力やランダムな入力（ファズ）を送り込み、エラーやクラッシュの処理方法を検証します。目的は、不適切な入力処理によって発生するバグや脆弱性を発見することです。
• 目的:予期しないデータによって引き起こされる入力検証の問題、バッファオーバーフロー、その他の脆弱性を特定すること。
• 使用される手法:
  • アプリケーションの入力フィールドにランダムなデータを注入します。
  • システムの動作を監視し、クラッシュ、例外の発生、または予期しない結果が生じるかどうかを確認します。&

2. Webアプリケーションスキャン（動的アプリケーションセキュリティテスト、DAST）

• 概要: 稼働中のWebアプリケーションをスキャンし、実行時に顕在化する脆弱性を検出します。ログインフォーム、ファイルアップロード、URLパラメータ、その他の入力ポイントのテストが含まれます。
• 目的: XSS、SQLインジェクション、リモートコード実行、不適切なセッション管理など。
• 使用される手法:
  • 自動スキャナは、Webフォーム、URL、クッキーとのやり取りを通じてユーザー行動をシミュレートし、アプリケーションが悪意のある入力にどう反応するかを検出します。
  • 手動テストは、ビジネスロジックの欠陥やより複雑なシナリオに焦点を当てることで、自動スキャンを補完します。

3. メモリとリソースのテスト

• 概要: メモリリークやメモリ解放の誤りなど、メモリ管理やリソース処理に関連する脆弱性についてアプリケーションをテストします。
• 目的: バッファオーバーフロー、使用済みメモリの解放後使用、競合状態などの問題が発生しないことを保証します。これらは任意のコード実行やサービス拒否攻撃を引き起こす可能性がある問題が発生しないことを保証すること。
• 使用される技術:
  • 異なる機能の実行中にメモリ割り当てと使用状況を監視する&
  • 負荷下でのリソース割り当て処理を確認するため、同時リクエストや入力を導入する

4. 実行時エラー検出

• 概要: アプリケーションの監視を行い、不正なデータ入力、例外処理の問題、ユーザー操作への不適切な応答などの実行時エラーを検出します。
• 目的: アプリケーションが予期しない入力を適切に処理し、スタックトレースの漏洩、未処理例外、システムクラッシュなどのセキュリティ上重大な問題を回避できるようにすること。
• 使用技術:
  • 様々な入力（有効なものと無効なもの）をシミュレートし、アプリケーションの異なる部分をトリガーしてエラー処理メカニズムを観察する
  • 障害を注入し、システムが障害や異常状態をどのように処理するかを確認する

5. ネットワークトラフィック分析

• 概要: アプリケーション実行中のクライアントとサーバー間のネットワークトラフィックをキャプチャし分析すること。目的: データ伝送に関連する脆弱性を検出するため。例：中間者攻撃（MITM攻撃）、暗号化されていないデータ送信、暗号プロトコルの不適切な使用など。
• 使用される技術:
  • ネットワークトラフィックを監視し、平文で送信されている機密データ（例：ユーザー名、パスワード、クレジットカード情報）を検出する
  • SSL/TLS 通信における暗号化アルゴリズムの脆弱性や証明書の不適切な使用の特定

6.対話型アプリケーションセキュリティテスト（IAST）

• 概要: 静的解析と動的解析の両方の利点を組み合わせたハイブリッドアプローチ。アプリケーションの実行時に監視を行うが、コード構造からの知見を活用してより深い脆弱性を特定する。
• 目的: コードレベルの問題と実行時挙動を関連付けることで脆弱性の詳細な可視化を実現し、論理的欠陥や複雑なセキュリティ問題の発見を容易にします。
• 使用技術:
  • 計測: アプリケーションにエージェントを組み込み、コード実行パス、データフロー、ユーザー操作をリアルタイムで分析します。

7. 認証と認可のテスト

• 概要: アプリケーションのログインおよびアクセス制御メカニズムをテストし、適切な認証・認可ポリシーが適用されていることを確認します。
• 目的: 許可されたユーザーのみが制限されたリソースにアクセスできることを検証し、セッション管理が安全であることを保証すること。
• 使用される手法:
  • 脆弱なパスワードポリシー、セッション固定攻撃、不適切なパスワード回復メカニズムのテスト
  • 権限昇格攻撃のシミュレーションにより、適切な認証なしに高権限リソースへアクセスできないことを確認

動的解析のメリット

• 実環境でのテスト: 動的解析は、実環境下でシステムをテストするため、セキュリティ脆弱性についてより正確な評価を提供します。これには外部ユーザー、システム、環境との相互作用が含まれます。
• 実行時脆弱性の検出: メモリ管理の問題、入力検証の問題、不適切なエラー処理など、多くの脆弱性は実行時にのみ明らかになります。&
• アプリケーション動作の即時フィードバック: 動的解析は、悪意のある入力や予期しないユーザー行動に直面した際のアプリケーションの挙動を可視化し、欠陥の迅速な検出を可能にします。
• セキュリティ態勢の強化: 攻撃者が悪用可能な脆弱性を特定し、リスク化する前に組織が修正することを可能にします。

動的解析の限界点

• 誤検知（偽陽性・偽陰性）: 動的解析ツールは、誤検知（問題のない箇所を脆弱性として検出）や偽陰性（実際の脆弱性を見逃す）を生じることがあります。
• 稼働システムが必要: 動的解析にはアプリケーションまたはシステムが完全に稼働している状態が必須です。そのため、開発初期段階の脆弱性は検出されない可能性があります。
• 時間がかかる:稼働中のシステムとのやり取りを伴うため、動的解析は静的解析よりも時間がかかる場合があります。特に大規模なアプリケーションや複雑な機能を持つシステムをテストする場合に顕著です。
• 実行時問題に限定される: 動的解析は、静的解析技術と組み合わせない限り、基盤となるコード自体の脆弱性を特定できない可能性があります。

サイバーセキュリティテストの利点

サイバーセキュリティテストの最大の利点は、テストを先行させることで、誤用や不適切なサイバーセキュリティツールによる通常業務への影響を回避できる点です。また、機能しないサイバーセキュリティ手順やツールを導入することで、誤った安心感に陥ることもありません。

サイバーセキュリティのベストプラクティス

組織はサイバー脅威からの保護を確保するため、サイバーセキュリティのベストプラクティスを検討する必要があります。クラウド上にはベストプラクティスに関する情報が存在しますが、この分野は広範かつ絶えず変化・拡大しています。SentinelOneはではこの分野のより広範な情報を提供しています。&

サイバーセキュリティに内在する課題と問題を念頭に置き、以下に必須のベストプラクティスを示します：

1. 強固で固有のパスワードを使用する。
2. 多要素認証（MFA）を有効化する。
3. ソフトウェアを最新の状態に保つ。&
4. デスクトップおよび企業サーバーにウイルス対策ソフト、スパイウェア対策ソフト、マルウェア対策ソフトを導入する。
5. ファイアウォールを使用する。
6. WiFiネットワークを保護する。
7. データを定期的にバックアップする。
8. 従業員を教育し訓練する。
9. メールの適切な管理を実践する。
10. 機密データを暗号化する。
11. ユーザーの権限を制限する。
12. 活動を監視し記録する。
13. モバイル端末を保護する。
14. 物理的セキュリティを実施する。
15. gt;インシデント対応計画を策定する。

法的・倫理的考慮事項

組織のサイバー防御をテストする機会は、サイバー窃盗を実行する機会にもなり得ます。テストを実施する個人は、自らの行動に関する法的・倫理的原則を理解しなければなりません。タルサ大学はこの主題に関する論文を発表しています。要約すると、主な内容は以下の通りです：

• 人間尊重
• 公正性の確保
• 法令と公共の利益の尊重

これは明らかに、サイバーセキュリティ全般における法的枠組み・規制、倫理的ハッキングの原則、責任ある開示に関する理解を意味します。

サイバーセキュリティの法的枠組みは、情報システムと

データ保護の基盤となります。これらの枠組みには、政府、国際機関、業界団体によって制定された法律、規制、ガイドライン、基準が含まれます。これらは、データプライバシーの保護、ネットワークの安全確保、サイバーセキュリティ慣行への準拠を目的としており、サイバー犯罪やデータ侵害の影響を軽減します。

一般的な法的枠組み

頻繁に遭遇する法的枠組みには以下が含まれる：

• 一般データ保護規則（GDPR）（欧州）—GDPRは欧州連合（EU）によって施行される最も包括的なデータプライバシー法の一つである。EU市民の個人データの収集、保管、処理方法について規定しています。
• NISTサイバーセキュリティフレームワーク（米国）— 米国国立標準技術研究所（NIST）が策定した本フレームワークは、組織がサイバーセキュリティリスクを管理・低減するための自主的な指針を提供します。
• サイバーセキュリティ情報共有法(CISA) (米国)—2015年に成立した本法は、連邦政府と民間企業間のサイバー脅威情報共有を促進し、国家のサイバーセキュリティ防衛体制の強化を図る。
• 医療保険の携行性と責任に関する法律 (HIPAA)(米国)—HIPAAは、医療業界における機密性の高い患者データの保護基準を定める法律です。
• 2015年サイバーセキュリティ法(米国)—政府と民間セクター間のサイバーセキュリティ情報共有を促進し、サイバー脅威に対する防御を強化する連邦法。
• ペイメントカード業界データセキュリティ基準（PCI DSS）(グローバル) — クレジットカード情報を取り扱う全ての企業が安全な環境を維持することを保証するために設計された一連のセキュリティ基準。
• 欧州連合ネットワーク・情報セキュリティ指令（NIS指令） — NIS指令は、重要インフラ事業者およびデジタルサービスプロバイダーのサイバーセキュリティ向上を目的としている。&
• ISO/IEC 27001 (グローバル)—ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の枠組みを提供する国際規格です。

サイバーセキュリティテストにおける共通の課題

長年にわたり多くの課題が残されてきたが、リモートアクセスやクラウドベースシステムへの移行、ハイブリッド環境や在宅勤務環境の普及により、データとシステムの保護において新たな課題が生じている。&

永続的な課題は依然として存在します：

• コストと専門知識の両面におけるリソースの制約。大小を問わず組織には、サイバーセキュリティに投入できるリソースに制限があります。例えば、大企業にはサイバーセキュリティ専任のスタッフがいる一方、中小企業ではパートタイムや外部委託のリソースに頼る傾向が強いです。大企業はハードウェアやソフトウェアを購入する余裕がある可能性が高いです。
• 新たな脅威への対応. 前述の通り、サイバーセキュリティは流動的な課題です。新たな脅威はほぼ毎日出現し、新たな認識と対策が求められます。これにはリソースと新たな知識が必要ですが、それらが容易に入手できるとは限りません。
• セキュリティと利便性のバランス.システムを完全に安全にすることは可能だが、そうすると使い物にならなくなる可能性がある。脅威を分類し、発生確率と影響度に基づいて対策を割り当てることで、安全性と使いやすさのバランスを取ることができる。
• 現実の脅威と想像上の脅威（誤検知と見逃し）の区別を理解する。これは困難な課題であり、継続的な知識の更新が必要である。

適切なツール選定の基準

サイバーセキュリティテストの導入は、技術的にも運用的にも複雑で継続的な作業であることは明らかです。他の導入と同様に、資格と経験を備えたソリューションプロバイダーから専門的な助言を求めることが賢明です。そのようなソリューションプロバイダーの一つがSentinelOneです。

SentinelOneは、お客様のニーズの調査・定義から、サイバーセキュリティ環境を構築するソリューションの提案・導入に至るプロセスを包括的に支援します。包括的で適切、かつ手頃な価格のソリューションを提供することで確固たる評価を得ています。

現在、米国および世界中のフォーチュン10社中3社、グローバル2000社中数百社にサービスを提供しています。詳細は SentinelOneの顧客ページをご覧ください。

概要

サイバー脅威は絶えず進化しています。適切なツール、ポリシー、手順による強固なサイバー防御体制の構築は、機密情報の保護と事業中断の防止に不可欠です。警戒を怠らないことが重要です。&

デジタル領域において、皆様の行動はサイバー攻撃者に対する集団防衛を強化する上で重要な役割を果たします。常に情報を更新し、安全を確保し、サイバー脅威に耐性のあるデジタル世界を共に築きましょう。

"