2023年8月に開催された「ITmedia Security Week 2023 秋」において、日本セキュリティオペレーション事業者協議会 副代表、そしてGMOサイバーセキュリティ by イエラエ サイバーセキュリティ事業本部 執行役員 兼 副本部長 阿部慎司氏が「ペネトレーションテストを技術観点、運用観点、組織観点で3倍美味しく活用するメソッド」と題して講演した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
これまでSOC(Security Operation Center)に関わるサービス開発や運用責任者として携わり、ISOG-J 日本セキュリティオペレーション事業者協議会から公開されている『セキュリティ対応組織の教科書』の生みの親である阿部氏が、GMOサイバーセキュリティ byイエラエに所属し、見えてきたものを語る講演となった。ペネトレーションテストを実施しようとしている組織、実施したがその結果が見えなかった組織が参考にすべき、必見の内容だ。
ペネトレーションテストといえば、企業組織が守りたいと思う情報資産をしっかりと守れるかどうかを、攻撃者になり切ったペネトレーションテスターによる疑似攻撃で確認するものだ。この考え方は大事ということは多くの組織で認識しているだろう。しかし、課題は「その後」にある。
ペネトレーションテスト後は、その結果を生かすために報告書にあるシステムの脆弱(ぜいじゃく)性や業務上の脆弱性を改善する流れになることが多い。緊急とされた脆弱性を優先してパッチを適用し、アプリケーションで設定されたファイルの中に存在する認証情報をチェックするなど、指摘情報への対応は最低限行われているだろう。
OWASP JapanとISOG-Jが公表している「脆弱性診断士スキルマッププロジェクト」では、もう一段先にやるべきことが記載されている。それが「サイバーレジリエンス能力の評価」だ。
運用観点からは不審なログや検知可否、対応といった点が記載されているだけでなく、重要な組織観点として「組織全体の対応に課題がないかどうかを検証すべき」と記載されている。
「技術観点+運用観点+組織観点の3つをそろえ、いよいよペネトレーションテストを実施することによって、おいしく食べるべき部分がそろう。ログがあり、検知ができ、そして対応につなげる部分の話を分解すれば、スッキリと活用しやすい形で理解できる」(阿部氏)
Copyright © ITmedia, Inc. All Rights Reserved.