ペネトレーションテストで情報システムの脆弱な部分のチェックする
ペネトレーションテストとは、ネットワークを介して接続されているコンピュータシステムに
対し、既知の技術を用いて実際に侵入を試みることで侵入テストであり、疑似攻撃テストのこ
とです。
情報システムに対する独立行政法人情報処理推進機構(IPA)は、ペネトレーションテストにつ
いて「脆弱性等を利用して実際に公開しているサーバや組織のネットワークへ侵入できるかど
うかを検査する手法である。他のセキュリティ検査とは異なり、ペネトレーションテストは、
今あるシステムが本当に攻撃された場合、どのような被害が想定されるかを実際の攻撃に近い
形で実施し、被害がどの程度想定できるのかを明らかにする検査である」
と説明しています(独立行政法人情報処理推進機構セキュリティセンター「脆弱性検査と脆弱
性対策に関するレポート~組織で提供するソフトウェアの検査と組織内のシステムの点検のた
めの脆弱性検査を~」2013年8月8日、p.17)。
現実に近い形での攻撃をすることで、情報システムを攻撃するテストを行なうのがペネトレー
ションテストに対して、OSのパッチ当てや管理者用の初期パスワードの変更などを検査するの
が脆弱性検査です。
なお、情報システムの脆弱な部分のチェックも含まれるのが、ペネトレーションテストです。
ペネトレーションテストを委託するときのポイントをおさせよう!
ペネトレーションテストは、一般の企業では情報セキュリティベンダに委託するため、
情報セキュリティを担当することになっても、実際にそのテストを担当者自身が実施すること
はありません。
ペネトレーションテストを実施あるいは委託するときのポイントは、次のとおりで、
当然のことながら、ペネトレーションテストの意義を認識したうえで、管理者や経営者は、
予算を確保してペネトレーションテストの適切な実施と、改善策を必要に応じて講じていくこ
とになります。
・定期的に実施すること
・ペネトレーシヨンテストの対象の網羅性が確保されていること
・技術力のある委託先に脆弱性検査を委託すること
・ペネトレーシヨンテストの結果、判明したリスクに対する対応策を講じること
・本番システムへの影響を考慮してペネトレーションテストを実施すること
ペネトレーションテストで行われる擬似的攻撃の内容
知識として覚えておくとよい、ペネトレーションテストを挙げます。
それには、次のような攻撃が擬似的に行なわれます。
・パスワード攻撃
・DoS(サービス不能)攻撃
・特殊なパケットによる攻撃
・ウェブサーバ、ウェブアプリケーションの脆弱性を突いた攻撃
情報システムのセキュリティが確保されているかどうかを確かめるために、このように様々な
攻撃を擬似的に実施します。
なお、ペネトレーションテストも新しい手口の攻撃が日々出現していますので、新たな手口の
攻撃に対応するために、新しい手法を用いてテストされています。
まとめ
ペネトレーションテストは、組織の公開サーバやネットワークシステムの最も弱いところを洗
い出す検査です。
実際の攻撃で使われる手口をそのまま使い、ソフトウェアの脆弱性だけではなく、
ネットワーク上の不適切な運用についても見つけることができます。
一方、実際の攻撃で使われる手口を使って弱点を洗い出すため、システムが動作不良等に陥る
可能性が他の脆弱性検査よりも高いことを留意しておく必要があります。
そのため復旧方法や検査による影響範囲を見定め、テストからの復旧、修正の計画を立てた上
で実施する必要があるのです。