侵入テストは、倫理的なハッカー(「ホワイトハットハッカー」や「グッドハッカー」と呼ばれることもあります)や、その実施を委託された正当な団体が実行する模擬攻撃です。彼らはシステム、アプリケーション、サーバー、その他のデジタルアイテムへの侵入を試み、成功した場合は、他者に悪用される前に脆弱性を修正する方法を提案します。
システムのどこに脆弱性が潜んでいるかは、実際に露呈するまで把握することが難しい場合があります。問題は、脆弱性がサイバー犯罪者やその他の悪意のある行為者によって特定され、悪用された場合、対処するには手遅れになっていることがほとんどだということです。
サイバー攻撃の規模と高度さはますます高まっており、組織は先手を打って、他者が気付く前に潜在的な弱点を見つけて対処する必要があります。そこで登場するのが、ペネトレーションテスト(ペンテストとも呼ばれます)です。
この記事では、サイバーセキュリティのペネトレーションテストの仕組み、様々な手法、アプローチのバリエーション、脆弱性スキャンとペネトレーションテストの主な違いについて詳しく解説します。
なぜペネトレーションテストはサイバーセキュリティにおいて重要なのでしょうか?
サイバーセキュリティにおいて、ペネトレーションテストはあらゆる組織の戦略において重要な位置を占めるべきであり、理想的には毎年、あるいは新しいシステムやアプリケーションが追加された際に実施する必要があります。適切なペネトレーションテストは、次のようなことに役立ちます。
積極的なセキュリティ保護とインシデント対応
サイバー犯罪者が攻撃する機会を得る前に脆弱性を発見することで、セキュリティのギャップを解消し、全体的な防御を強化することができます。Kaspersky の侵入テスト サービスでは、倫理的なハッカーによる攻撃をシミュレートしてこれらの脆弱性を明らかにし、デバイスとシステムの安全性の高いを確保します。このプロアクティブなアプローチにより、潜在的な脅威を早期に特定し、悪用される前に対処しやすくなります。
コンプライアンス要求への対応
欧州の GDPRからカリフォルニア州の CCPA まで、サイバーセキュリティとデータ保護に関する法的要件はますます厳しくなっています。侵入テストは、脆弱性が対処されていることを規制当局に示すのに役立ち、コンプライアンス違反によって生じる可能性のある法的および財務的な影響を回避するのに役立ちます。
セキュリティの可視性を最大化
ペンテストは、特定のシステムまたはアプリケーションのセキュリティ体制に関する新たなレベルの洞察を提供することができるため、定期的なペンテスト戦略は組織全体のセキュリティの品質を強調することができます。この洞察は、新しいソリューションの導入から投資を割り当てる領域に至るまで、幅広いセキュリティ上の意思決定に役立ちます。
新しいソフトウェアとハードウェアの安全性を確保する
新しいアプリケーションやシステムは、既存のシステムやインフラストラクチャに影響を与え、IT セキュリティ チームが認識していない脆弱性を抱えている可能性があります。これらの新しいソリューションをできるだけ早く侵入テストすることで、新しい脆弱性を導入することなく、安全に実装および使用できるようになります。
公共の信頼の維持
人々は、特に詳細情報が公開された場合、セキュリティ侵害やデータの悪用についてこれまで以上に意識するようになっています。侵入テストを使用してセキュリティ侵害のリスクを最小限に抑えることで、攻撃が組織の評価、ひいては収益に損害を与える可能性を減らすことができます。
一般的な侵入テストの手順とは?
侵入テストにはいくつかの異なる種類と方法があります (この記事の後半で説明します)。ただし、優れた侵入テストの原則は、通常、次の 5 つの手順に従います。
計画
関連するシステムまたはアプリケーションやそれに最適なテスト方法など、侵入テストの包括的な目的を定義します。これは、ターゲットの詳細と関連する潜在的な脆弱性に関する情報収集と並行して行われます。
スキャンとは
攻撃対象が意図した攻撃方法に対してどのように反応するかを分析することです。これは「静的」な手法(対象がどのように動作するかを判断するためにコードを評価する手法)と「動的」な手法(アプリケーションまたはシステムの実行中にコードをリアルタイムで評価する手法)のいずれかです。
アクセスの確立
この段階では、脆弱性を露出させる目的で攻撃が実行されます。これは、バックドアやクロスサイトスクリプティングなどのさまざまな戦術を使用して実行できます。侵入テストチームがアクセスを取得すると、データの盗難、権限の追加、Web およびネットワークトラフィックの取得などの悪意のあるアクティビティをシミュレートしようとします。
アクセスの維持
アクセスが確立されると、侵入テストチームはそのアクセスを長期間維持できるかどうかを確認し、悪意のあるアクティビティの範囲を徐々に拡大していきます。そうすることで、サイバー犯罪者がどこまで攻撃できるか、理論上どれだけの損害を与えることができるかを正確に判断できます。
自動分析システム
攻撃の最後に、侵入テストプロジェクトのすべてのアクションと結果がレポートで提供されます。このレポートには、どの脆弱性がどのくらいの期間悪用されたか、およびアクセスできたデータとアプリケーションが定量化されます。これらの洞察は、組織がセキュリティ設定を構成し、それに応じて脆弱性を封じ込めるための変更を行うのに役立ちます。
侵入テストにはどのような種類がありますか?
上記の原則は、7つの主要な侵入テストの種類に適用され、それぞれ異なるターゲットとユースケースに適用できます。
内部および外部ネットワークテスト
これはおそらく最も一般的なタイプの侵入テストであり、侵入テスト チームはファイアウォール、ルーター、ポート、プロキシ サービス、侵入検知/防止システムを突破または回避しようとします。これは、組織内の不正なアクターによる攻撃をシミュレートするために内部で行うこともあれば、パブリック ドメインの情報しか使用できないチームによって外部で行われることもあります。
Web アプリケーション
このタイプの侵入テストは、ブラウザー、プラグイン、アプレット、API、関連する接続やシステムなどの領域をターゲットにして、Webアプリケーションを侵害しようとします。これらのテストは、さまざまなプログラミング言語にまたがり、ライブでオンラインであるものの、常に変化するインターネットとサイバーセキュリティの状況により重要である Web ページをターゲットにするため、複雑になる可能性があります。
物理コンピューティングとエッジ コンピューティング
クラウドの時代においても、物理的なハッキングは依然として大きな脅威であり、その大きな理由はモノのインターネット(IoT)に接続されるデバイスの増加によるものです。そのため、侵入テスト チームには、セキュリティ システム、監視カメラ、デジタル接続されたロック、セキュリティ パス、その他のセンサーやデータ センターをターゲットにするよう委託することができます。これは、セキュリティチームが状況を把握した上で行う場合(状況を把握するため)、または指示なしで行う場合(対応方法を評価するため)のどちらでも実行できます。
レッドチームとブルーチーム
このタイプのペネトレーションテストは2つの側面から構成されます。「レッドチーム」は倫理的なハッカーの役割を担い、「ブルーチーム」はサイバー攻撃への対応を主導するセキュリティチームの役割を担います。これにより、組織は攻撃をシミュレートしてシステムやアプリケーションのレジリエンスをテストできるだけでなく、セキュリティチームが脅威を迅速かつ効果的に遮断する方法を学ぶための有益なトレーニングにもなります。
クラウドセキュリティ
クラウドデータとアプリケーションは安全ですが、ペネトレーションテストはサードパーティのクラウドプロバイダーの管理下にあるサービスを攻撃するため、慎重に行う必要があります。優れたペネトレーションテストチームは、クラウドプロバイダーに十分な事前連絡先、攻撃の意図を伝え、攻撃が許可されているものと許可されていないものを把握します。一般的に、クラウドペネトレーションテストでは、アクセス制御、ストレージ、仮想マシン、アプリケーション、API、そして潜在的な設定ミスを悪用しようとします。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ペネトレーションテストチームがフィッシングや信頼に基づくサイバー攻撃を装うことです。彼らは人々やスタッフを騙し、大切な情報やパスワードを入手して、その情報にアクセスしようとします。これは、人為的なミスがセキュリティ問題を引き起こしている箇所や、セキュリティのベストプラクティスに関するトレーニングと教育のどこを改善する必要があるかを明らかにする上で役立つ演習となります。
ワイヤレスネットワーク
ワイヤレス ネットワークが、推測しやすいパスワードや悪用しやすい権限で設定されている場合、サイバー犯罪者が攻撃を仕掛ける入り口となる可能性があります。侵入テストでは、適切な暗号化と資格情報が設定されていることを確認し、サービス拒否(DoS) 攻撃をシミュレートして、その種類の脅威に対するネットワークの耐性をテストします。
侵入テストにはさまざまなアプローチがありますか?
侵入テスト チームは、組織からの依頼や、使用できる時間と予算に応じて、さまざまな方法でテストに取り組んでいます。その 3 つの方法を以下に示します。
ブラック ボックス
これは、侵入テスト チームが組織からターゲットに関する情報をまったく提供されない方法です。関係するネットワーク、システム、アプリケーション、および資産をマッピングし、この発見と調査作業に基づいて攻撃を仕掛けるのは、チームの責任です。これは 3 つのタイプの中で最も時間がかかりますが、最も包括的で現実的な結果が得られます。
ホワイトボックス
一方、ホワイトボックス侵入テストでは、組織は対象とITアーキテクチャ全体に関する完全な情報(関連する資格情報やネットワークマップを含む)を侵入テストチームと共有します。これは、他のネットワーク領域が既に評価済みの場合や、すべてが正常であることを再確認したい場合に、資産のセキュリティを検証するより迅速かつ費用対効果の高い方法です。
グレーボックス
グレーボックス侵入テストは、その名の通り、最初の 2 つのオプションの中間に位置します。このシナリオでは、組織は特定のデータまたは情報を侵入テストチームと共有し、作業の開始点を確保します。通常、これらはシステムへのアクセスに使用できる特定のパスワードまたは資格情報です。侵入テスト担当者とこれらを共有することで、特定の状況で何が起こるかをシミュレートできます。
脆弱性スキャンと侵入テスト:これらは同じですか?
脆弱性スキャンは侵入テストと混同されることがよくありますが、これらは 2 つの全く異なる取り組みであり、その違いを理解することが重要です。
脆弱性スキャンは対象範囲がはるかに限定されており、インフラストラクチャ内に潜む可能性のある脆弱性を発見することのみを目的としています。侵入テストよりもはるかに迅速かつ安価に実行でき、経験豊富なサイバーセキュリティ専門家からの入力もそれほど必要ありません。
一方、ペネトレーションテストは、脆弱性、悪意のある攻撃者による悪用の可能性、そして結果として生じる可能性のある被害の範囲について、はるかに包括的な視点を提供します。これは、 カスペルスキー Penetration Testingなどの専門的なプロセスに裏付けられた、より情報に基づいた視点を提供し、組織が長期的なサイバーセキュリティとインシデント対応について情報に基づいた意思決定を行うことを可能にします。Kasperskyのペネトレーションテストソリューションを今すぐご検討いただき、ビジネスを保護するための積極的な対策を講じてください。
関連記事:
関連製品:
