ペネトレーションテスト（ペネテスト）とは？

ペネトレーションテストは、システムやネットワークのセキュリティを評価する模擬サイバー攻撃です。本ガイドでは、ペネトレーションテストの原則、その利点、およびセキュリティ専門家が使用する手法について解説します。

脆弱性の特定とセキュリティ対策の強化において、定期的なペネトレーションテストの重要性について学びましょう。組織がデジタル資産を効果的に保護するには、侵入テストを理解することが不可欠です。

ペネトレーションテストを実施するのは誰か？

組織は、IT、アプリケーションセキュリティ、ネットワークセキュリティ、ソフトウェアプログラミング言語に関する豊富な知識を持つ有資格のペネトレーションテスターを起用します。ペネトレーションテスターはスクリプト言語を使用してスクリプトを作成し、テスト中にシステムに損害を与えないよう設計された一定の境界内で、承認された攻撃をシステムに対して実行します。彼らはソフトウェアコードに関する知識を活用して、ソフトウェアのセキュリティ上の欠陥を調査します。プロのペネトレーションテスター（ペネトレーションテスター）は、組織の依頼に基づいてペネトレーションテストを実施します。ペネトレーションテスターはテスト実施中にシステムを損傷させてはならない。脆弱性の証拠と、それらをどのように突破したかの記録を提供しなければならない。

ペネトレーションテストの結果を活用し、組織はシステムのパッチ適用や欠陥の軽減策を実施できる。その後、ペネトレーションテスターはシステムへの侵入を再度試み、組織が脆弱性を修正したかどうかを確認します。

外部ペネトレーションテストと内部ペネトレーションテスト

ペネトレーションテストには明確な種類があります。外部ペネトレーションテストでは、ペネトレーションテスターはテスト対象システムに対して特別なアクセス権や許可を一切持たない状態から開始します。犯罪者ハッカーと同じ視点から開始し、テスターは境界、インターネットに面したアプリケーション、および外部から到達可能な組織内の脆弱なシステムへの侵入を試みます。

テストには、例えば、外部ネットワークアクセスを必要とする契約業者が業務を行うために利用する脆弱なリモートデスクトッププロトコル（RDP）接続への攻撃が含まれる場合があります。ペネトレーションテスターは、不正アクセスの侵入経路となり得るスマートフォンやネットワーク上のユーザー端末などのエンドポイントデバイスをテストする場合があります。

内部ペネトレーションテストは、組織の内部ネットワークとインフラストラクチャに対する脆弱性テストです。このテストでは、攻撃者がネットワーク内部に侵入した後にどこまでアクセスを拡大できるかを判断します。このテストでは、攻撃者がネットワーク内に長期間潜伏し、その存在が長期間にわたり企業に知られない状態を維持できるかどうかを判断します。

テストでは、顧客データベースなどのネットワーク資産から、知的財産を含む他の資産へと、内部ネットワークやインフラストラクチャを横方向に移動できるかどうかを判断します。過剰なアクセス権限や許可など、既存の脆弱性を悪用した内部脅威の能力を明らかにします。

侵入テストと脆弱性評価の比較

侵入テストとは異なり、脆弱性テストはネットワーク脆弱性スキャンソフトウェアを用いて自動化されることが一般的です。脆弱性テストは組織に弱点が存在することを知らせます。侵入テストは、攻撃者が悪意を持って脆弱性を悪用し、追加のアクセス権を取得してデータを盗み出すことができることを確認します。

ホワイト、ブラック、グレー | 侵入テストの実施方法

多くの種類の侵入テストは、組織が良好なセキュリティ衛生状態と強固なセキュリティ体制を維持するのに役立ちます。お客様は、これらの侵入テストのいずれか、または組み合わせをリクエストすることができます。

ホワイトボックステスト

ホワイトボックステストでは、ペネトレーションテスターはテスト対象のネットワークとシステムを完全に可視化できます。何も隠されていないため、テスターはすべてのソフトウェアコードをテストに含めることができます。ホワイトボックステストは、開発環境で頻繁に利用される自動テストに適しています。開発中のソフトウェアを頻繁に自動テストすることで、開発ライフサイクル全体を通じてセキュリティを維持できます。

ブラックボックステスト

ブラックボックステストでは、ペネトレーションテスターは盲目状態に置かれます。テスターはシステムやソフトウェアについて何も知りません。攻撃者の視点からテストを実施し、事前知識なしに偵察活動、情報収集、初期ネットワークアクセス獲得を行う必要がある。テスターは自ら携行するツールを用いて攻撃を仕掛け、システムを悪用しなければならない。ブラックボックステストは最も困難だが、最も包括的なテストである。

グレーボックステスト

グレーボックステストでは、ペネトレーションテスターはシステムやソフトウェアを限定的に閲覧できます。テスト設計は、特権ユーザーが追加でどの程度のアクセス権を取得できるか、そしてそれを用いて何ができるかを判断することを目的とします。グレーボックステストは、内部関係者が権限を昇格させて内部攻撃を仕掛けるか、外部攻撃者と協力する可能性があるかを判断するのに役立ちます。

ペネトレーションテストの段階

ペネトレーションテストには、特にテスト対象システムに関する事前知識がない場合、5つの段階があります。それらは偵察、スキャン、エクスプロイト、バックドアの設置、追跡回避です。

最初の段階は偵察（リコン）です。これはテスト対象システムに関する情報収集を指します。軍事用語と同様に、ペネトレーションテストにおける偵察とは、テスターがネットワーク上に踏み込み、攻撃に有用な開放ポート、ネットワークアドレス、ログインページを検出することを意味します。ネットワークとその資産をマッピングすることで、テスターはテストで使用するエクスプロイトを決定できます。

次にテスターはネットワークをスキャンし、脆弱性を探します。優れたペネトレーションテスターはゼロデイ脆弱性を発見できます。ゼロデイとは、発見後ベンダーがシステムを修正する時間がゼロ日しかない状態を指します。パッチが公開されるまで、犯罪者ハッカーはこの脆弱性を悪用し続けることができます。

テスターは、システムを悪用するために、マルウェアを含むエクスプロイトを選択します。将来の攻撃に備えて、ネットワークにバックドアを残す。最後に、ペネトレーションテスターはセキュリティログを削除し侵害の痕跡を消去することで検知を回避します。

ペネトレーションテストの結果を組織はどのように活用できるか？

組織はテスターの最終報告書から脆弱性を把握し、脆弱性対策計画を策定できます。ペネトレーションテスターはその後、欠陥を再テストし、すべての脆弱性が修正されたことを確認します。ペネトレーションテストはリスク軽減を通じて企業に利益をもたらします。組織は、破損したアクセス制御などの主要な脆弱性をテストし修復できます。企業はペネトレーションテストを通じて自社のセキュリティ態勢を把握できます。これにより攻撃対象領域にセキュリティを適用し、組織が求める態勢に整合させ続けることが可能です。組織はまた、業界や規制要件への準拠を確保するためにもペネトレーションテストを活用できます。脆弱性をテストすることで、企業はパッチ適用や制御手段を活用し、コンプライアンスの達成・維持が可能となります。

ペネトレーションテスト報告書は、高リスク脆弱性を可視化し修正する点で企業に利益をもたらします。報告書は監査対応のコンプライアンス証明として活用可能です。セキュリティアナリストは、コンプライアンス監査不合格の原因となる脆弱性に注力するため、報告書を活用できます。

企業はペネトレーションテストの範囲を定義すべきです。これにはテスト対象領域、除外領域、特定すべき脆弱性の種類を含みます。高リスクなシステム、ソフトウェア、設定をターゲットとすることで、予算内で優先度の高い脆弱性を発見・修正できます。

ペネトレーションテストの種類

ネットワークサービスペネトレーションテスト

ネットワークサービスペネトレーションテストは、ネットワークの最も重大な脆弱性と弱点を特定します。このテストには内部テストと外部テストが含まれます。ネットワークコンポーネントをテストします。また、エンドポイントとネットワークの周辺部もテストします。

ネットワークインフラストラクチャデバイスには以下が含まれます：

• ファイアウォール
• スイッチ
• ルーター

このテストにより、企業は脆弱性を修正し、分散型サービス拒否（DDoS）攻撃などの一般的なネットワークベースの攻撃から防御できます。

Webアプリケーション侵入テスト

Webアプリケーション侵入テストは、Webベースのアプリケーションやブラウザの脆弱性を発見します。脆弱なブラウザを介したアプリケーションへの攻撃は一般的であり、例えばeコマースページ上のJavaScriptを攻撃するボットなどが挙げられます。

Webアプリケーションテストは、Webアプリケーションセキュリティのギャップの修正を加速することで組織に利益をもたらします。ペネトレーションテストとパッチ適用により、Webアプリケーションの耐障害性が向上します。安全なWebアプリケーションは、侵害や混乱が最小限に抑えられるため、ユーザーの生産性が低下することなく継続するなど、事業継続性を維持します。Webアプリケーションのペネトレーションテストでは、JavaScriptのブラウザ内脆弱性を特定し、セキュリティチームがブラウザの欠陥に対するアプリケーションの強化を図れるようにします。

物理的ペネトレーションテスト

物理的ペネトレーションテストは、組織の施設に対する模擬攻撃を伴います。物理的侵入テストは、制限区域を保護する物理的セキュリティを測定します。攻撃者が不正アクセスを得るのを防ぐ物理的セキュリティ制御をテストします。物理的侵入テストでは、技術サポートや他の従業員になりすますなどのソーシャルエンジニアリング手法を用い、適切な許可や認証なしにアクセスを得ようとします。

ソーシャルエンジニアリング侵入テスト

ソーシャルエンジニアリング侵入テスト担当者は、従業員が人に対して抱く信頼を悪用します。テスターは、従業員を騙して機密データを漏洩させたり、システムやソフトウェアへのアクセス権を譲り受けたりする口実を作ります。

クラウド侵入テスト

クラウドプロバイダーは自社サービスを保護していますが、クラウド上のデータやアプリケーションの保護は顧客の責任です。クラウド侵入テストには、顧客が更新を考えないかもしれないインターネットに面した認証情報のブルートフォーステストが含まれます。しかし、それを実行するのは顧客の責任です。

IoT 侵入テスト

IoT 侵入テストでは、顧客の IoT デバイスをすべて調査し、脆弱な認証情報やデフォルトの認証情報、レガシー通信プロトコル、セキュリティパッチの欠如など、典型的な脆弱性を調べます。ペネトレーションテスターは、脆弱なプロトコルを探すためにワイヤレスセキュリティテストを行う場合があります。また、既知の脆弱性についてパッチを確認し、不正アクセスを試みる場合もあります。

ペネトレーションテストの利点

ペネトレーションテストは、サイバー攻撃、データ漏洩、および多くの業界や規制要件への非準拠から組織を保護します。組織はGDPR、ISO 27001、PCI DSSを含む国内外の規制監査と準拠が求められます。その他の規制にはHIPAA/HITRUSTがあります。

企業は消費者の信頼維持を望みます。侵害を受けない信頼性の高い技術は顧客を維持する傾向がある一方、侵害は顧客離れを招きます。ペネトレーションテストは事業継続を支えます。侵害によるダウンタイムや調査で人的リソースがコア業務から離れる事態が減り、予期せぬ事態が少なくなるためです。

結論

ペネトレーションテストはセキュリティとコンプライアンス維持に不可欠な要素です。ペネトレーションテストは、組織の攻撃対象領域を評価し、重要アプリケーションにおける高リスク脆弱性を特定します。企業はペネトレーションテスト報告書を活用し、優先度の高い脆弱性を修正し、セキュリティリスクを軽減し、コンプライアンス監査に備えることができます。