連載
» 2009年09月02日 00時00分 公開

たった1つの脆弱性がもたらすシステムの“破れ”セキュリティ対策の「ある視点」(16)(3/3 ページ)

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]
前のページへ 1|2|3       

危険度「5」の指摘事項が発見された検査対象では

 これらの個別の指摘事項に対する評価は、前述した検査対象の評価のもととなるものである。顕著な例として、危険度「5」の指摘事項が発見された場合を見てみよう。

 この場合、検査対象の管理者権限を奪取することに成功しているため、これ以上にない危険な状態であると判断できる。これは、前述した「D」ランクの説明とリンクしていることがお分かりいただけるかと思う。

 つまり、指摘事項の総数が10件であっても、100件であってもその中に1つでも「5」が検出されれば、その検査対象の評価は最低ランクの「D」となる。

 これは、「ウイーケストリンク」の考え方であると理解していただければいいだろう。

 ウイーケストリンクとは、システムのセキュリティを「鎖」に例えたよく使われる表現のことで、鎖の最も弱い部分のことを指すものである。弱い部分が1つでもある鎖を使い続けると、その弱い部分から破たんを起こし、結果的には鎖全体に悪影響が波及するということである。

 1つでも大きな脆弱性がシステム内に存在した場合、それに引きずられ検査対象の評価が下がるということである。

これを対応させて考えると

  • 危険度「5」の指摘があれば評価「D」
  • 危険度「4」の指摘があれば評価「C」
  • 危険度「3」の指摘があれば評価「B」
  • 危険度「2」「1」の指摘があれば評価「A」

というのが目安と考えていただいていいだろう。

 しかし、世の中のもののほとんどがしゃくし定規では測ることができず、「例外」というものが存在するように、ペネトレーションテストの結果の判断でも「例外」と呼ぶべきものが存在する。それはどのようなものか??それは、最終回で実例とともに紹介することにしよう。

著者紹介

NTTデータ・セキュリティ株式会社

辻 伸弘(つじ のぶひろ)

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。