侵入者にとってクラウドはメリットだらけ? 上野宣氏が語る「ゼロトラストの狙い方」ITmedia Security Week 2022夏

ITmedia Security Week 2022夏のDay3「クラウド&ゼロトラスト」基調講演で、トライコーダの上野宣氏が「侵入者は信用される! 攻撃者が狙う『ゼロトラストの穴』」と題して登壇した。

» 2022年07月01日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ゼロトラストといえば、混沌(こんとん)としたサイバー空間における「救世主」ともいわれる存在であり、多くの企業が新たなセキュリティ対策として取り入れようとしている。しかしそこには、意外な穴があるのではないか――。自身もペネトレーションテスターとして活動し、セキュリティ教育にも携わるトライコーダ 代表取締役の上野宣氏の視点で語るセッションをレポートする。

そもそも、ペネトレーションテストはなぜ必要なのか?

トライコーダ 代表取締役の上野宣氏

 ファイアウォールを入れる、アンチウイルスを入れる、EDR(Endpoint Detection and Response)を導入する――。セキュリティ対策をしていない企業はもはやないだろう。では、そのセキュリティ対策は果たして“機能”しているのだろうか?

 複数のセキュリティ機能を導入していた場合でも、それがどのように総合的に機能しているのかについて、全て把握している企業は少ないかもしれない。

 「皆さんが想定している脅威よりも、現実の脅威の方が複雑、かつレベルが高い。だからこそ、個別の対策が総合的に機能しているかどうかを知りたいはず。本来必要な対策が見逃されていないかどうかを判定するものがペネトレーションテスト。いわば“組織やシステムのセキュリティ総合力を確かめる”ものだ」(上野氏)

 ペネトレーションテストについては、いわゆる「脆弱(ぜいじゃく)性診断」とは、「少々異なる」と上野氏は述べる。脆弱性診断には、Webアプリケーションやプラットフォーム、OS、デバイスなどの問題点を網羅的に探し、侵入できてしまう部分を探す性質がある。ペネトレーションテストはそれらだけでなく、物理的なセキュリティや、従業員が守るルールの穴なども含めテストする。顧客との契約の後、例えば「本番データベースの内容を盗む」といったゴールを設定する。その後、システムへの侵入のために、人をだますようなフィッシングや物理侵入を含め、ゴールをクリアするためにサイバー攻撃者と同じ立場で疑似的に攻撃するのがペネトレーションテストだ。

 上野氏本人も、最近、物理侵入のために鍵師の資格を取得したという。多角的な疑似攻撃を行うペネトレーションテストは、脆弱性診断とともに「セキュリティレベルがある程度成熟した組織には重要なもの」と上野氏は述べる。

ペネトレーションテストと脆弱性診断との違いは(上野氏の講演資料から引用)

いまのサイバー攻撃のかたち

 次に上野氏は「セキュリティにおける領域」について話した。サイバー犯罪、サイバー攻撃だけでなく、データガバナンスや情報保全、管理などを総合的に考えなくてはならない。

セキュリティにおける領域(上野氏の講演資料から引用)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。