PCI DSSで定められた脆弱性スキャンテストを行う組織、ASV。彼らの検査手順と考え方をトレースし、セキュリティの意味を再考せよ!
※ご注意
本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。
また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。
連載第11回「ハニーポットによるウイルス捕獲から見えてくるもの」から13回「プレイバックPart.II:シフトした脅威の中で」では、コンピュータウイルスを題材に筆者の視点で書かせていただいた。新年は心機一転というわけでもないが、筆者自身、原点に立ち返る意味も込めて、セキュリティの検査であるペネトレーションテストについて書かせていただきたい。
さて、ペネトレーションテストという言葉。この記事を読んでいただいている皆さんは、もうなじみ深い言葉かもしれない。しかし昨今、この言葉が誤用されているとまではいわないにしても、筆者はその使い方に違和感を覚える場面に遭遇することがよくある。よい機会なので、「ペネトレーションテストとは何か」ということを説明させていただきたい。
ペネトレーションテストとは、コンピュータネットワークに内在する弱点、つまり脆弱(ぜいじゃく)性を検出し、実証する行為のことを指す。(インターネットへの公開、非公開は関係なく)ネットワーク上のコンピュータやネットワーク機器などに対して、「検査者の手で実際の攻撃手法」を用いて、その対象がどの程度のセキュリティレベルであるのかということを調査するものである。
読者の皆さんの中には、ペネトレーションテストとして実際に検査を受け、報告された内容から対策を講じ、再検査を行い自システムの脆弱性を減らしていったという方もいらっしゃると思う。そのような方でも、検査の概要と検査のアウトプットである報告書、報告会がどのようなものかは知っていても、肝心の検査そのものがどのように行われているのかはあまりご存じないという場合が多いのではないだろうか。
言葉の定義としてのペネトレーションテストだけではなく、現場ではどのようなことが行われているのかということを、筆者が行ったとある認定試験の一部を例に紹介させていただく。
筆者を含む検査チームは、昨年にASVという認定試験を受験した。ASVとは、「Approved Scanning Vendor」の略で、PCI DSS(Payment Card Industry Data Security Standard:クレジットカード業界のセキュリティ基準)の要件の11.2【注1】に記述されている企業・組織である。PCI DSSを取得するには、ASVとして認められた組織による脆弱性スキャニングテストを年に4回受ける必要がある。
【注1】
PCI DSS要件11.2は以下の通り。
11.2 内部および外部ネットワークの脆弱性スキャンを少なくとも四半期に1度およびネットワークでの大幅な変更(新しいシステムコンポーネントのインストール、ネットワークトポロジの変更、ファイアウォール規則の変更、製品アップグレードなど)後に実行する。
注:四半期に1度の外部の脆弱性スキャンはセキュリティ基準審議会(PCI SSC:Payment Card Industry Security Standard Council)によって資格を与えられたASVによって実行される必要があります。ネットワーク変更後に実施されるスキャンは、会社の内部スタッフによって実行できます。
PCI DSSに関する詳しい内容については、連載「オール・ザッツ・PCI DSS」に任せるとしよう。ASVではたとえ試験であっても、通常のサービス提供と変わりなく、テスト環境を提供してくれているチーム(以下、被検査チーム)をお客さまとして扱うように、と規定されている。
受験前には、検査対象がどのような構成であるかということが通知される。今回の検査対象は、Windows系が5台、UNIX系4台、ネットワーク機器4台の計13台のマシン(IPアドレス)であった。実は筆者がASVを受験するのは2回目である。上記の構成は、前回(2007年度試験)と比べて大きく変わっている点がある。前回はWindows 2000が検査対象にいくつか存在したのだが、今回は、Windows Server 2003に置き換わり、Windows Server 2008も登場していた。
最近筆者が行う業務上の検査でも、Windows 2000とWindows Server 2003とでは圧倒的にWindows Server 2003が多いことを考えると、この試験は時代の流れをしっかり取り入れることでブラッシュアップが図られている試験内容であるといえる。
検査開始までに、検査を行うIPアドレスを被検査チームに通知する。これは、通知したIPアドレスからのみの通信を許可してもらうためである。通常の検査も検査を行うIPアドレスを事前に通知するということを行う。これは、検査によって発生する通信に、IDS/IPS、ファイアウォールが無駄な反応を起こさないことを目的としたアクションである。
Copyright © ITmedia, Inc. All Rights Reserved.