「ペネトレーションテストは死んだ?」:辻伸弘の「投げます。一石、」(1)(2/2 ページ)
現状に合わせた現実解とは
現在の脅威のスピードと規模を前にして、全ての脆弱性が本当に悪用可能かを一つ一つ手作業で証明している時間はもはやなく、かける費用にも見合わないと言える。最も効果的で現実的な戦略は、攻撃される可能性が最も高いものから効率的に優先順位を付け、迅速に修正することだ。
そのための、より効率的なワークフローがある。それは、脆弱性管理ツールを用いて網羅的に自組織の弱点を洗い出し、その結果をCISAのKEV(Known Exploited Vulnerabilities)カタログのような外部の脅威インテリジェンスと照合して、修正の優先順位を決定するというアプローチだ。
ここで重要になるマインドセットの変化は、「この脆弱性は本当に危険なのか」を自らの手で証明するために時間と費用をかけるのではなく、「この脆弱性は世界中で実際に悪用されている」という信頼できる情報を基に、即座に行動を起こすことだ。
CVSSの基本値を軸に対策の優先度を決めると、緊急ではない、つまり今すぐ対応をしなくても影響がない脆弱性に余計なリソースを割いてしまうこととなる。一方、CVSS基本値は低いが悪用されている、つまり対応の必要がある脆弱性を見逃してしまうことになる。例えば、CVSSスコアが10.0のクリティカルな脆弱性であっても、実際の悪用が確認されていなければ、スコアは6.1でもKEVに掲載されている脆弱性の方がはるかに緊急度は高いと判断すべきだ。
攻撃者は最初の侵入後、内部ネットワークで権限昇格や横展開(ラテラルムーブメント)を行うためにローカルの脆弱性を悪用する。従って、防御は外部から攻撃可能なリモートの脆弱性だけでなく、ローカルの脆弱性も網羅的にカバーしなければならない。これには、ログイン権限を用いてローカル環境をスキャンする「認証スキャン」やエージェント型の脆弱性管理といった手法が不可欠だが、これは通常のペネトレーションテストの範囲外となることが多い。
ペネトレーションテストに携わる者の、これからの形
ここまで、従来型のペネトレーションテストという「サービス」は、今の脅威の状況にはもはや最適ではないと論じてきた。しかし、これはペネトレーションテスターが持つ「知識」や「攻撃者の視点」の価値が失われたことを意味するものではない。むしろ、その価値は従来以上に高まっているとも感じている。
ペネトレーションテスターの知識の真価は、攻撃の手口、特に侵入後の内部ネットワークにおける横展開のテクニックを深く理解している点にあると筆者は考えている。防御の知識を持つセキュリティ担当者は数多くいるが、攻撃者が何を考え、どのように行動するかを具体的に想像し、シミュレートできる人材は非常に希少だ。
この貴重なスキルセットの進化形として最も有望なのは「レッドチーミング」かもしれない。レッドチーミングの目的は、脆弱性のリストを作ることではなく、実際の攻撃者のように振る舞うことで、組織全体の検知・対応能力をテストすることだ。ペネトレーションテストとは目的が根本的に異なり、「SOCは攻撃活動を検知できるか」「インシデント対応計画は正しく機能するか」といった、人、プロセス、テクノロジーを含めたセキュリティ体制全体の有効性を評価する。このアプローチは、既にある程度のセキュリティ基盤が確立されている成熟した組織にとって、非常に価値の高いものとなるはずだ。
また、ペネトレーションテスターの知識や技術は、直接的ではなくとも、脆弱性管理プロセスへの助言や攻撃の検知ルール/設計へのフィードバックに活用できるだろう。
結論として、「ペネトレーションテストは死んだ」と言わざるを得ない側面はあるが、「今に合った形に変化させ、違う道で使うのは有用だ」と筆者は考えている。その知識と技術は、形を変えることで、これからも組織のセキュリティ向上に大きく貢献できるはずなのだ。
共に考え、伝えていこう
本稿の目的は、特定のサービスや製品、職種を否定することではない。技術者から経営層、管理部門に至るまで、サイバーセキュリティに関わる全ての人々にとっての「考えるきっかけ」を提供することにある。ペネトレーションテストをはじめ、セキュリティに携わる方々はぜひ一度、自問してみてほしい。「自分たちの組織が現在行っているセキュリティ対策は、本当に今の時代に最適なのだろうか、そのアプローチに見直しの余地はないだろうか」と。
この問いかけこそが、私たちが直面している新たな現実を認識するための第1歩だと筆者は考えている。私がこの世界に足を踏み入れた2000年初頭、サイバーセキュリティはまだ一部の専門家の領域だった。しかしセキュリティはもはや「楽しいから趣味の延長で取り組む」時代ではなく、「ビジネス」の一部であり、事業継続のため、国家においては安全保障の柱だと言えよう。この新たなフェーズにおいて、私たち一人一人が自らのアプローチを再評価することが求められているのではないか――これが、私の投じる今回の“一石”だ。この一石の波紋があなたに伝わり、新たな石がさらなる波紋につながり、多くの対話につながることに期待したい。
次回は、関連するテーマとして、これも言葉だけが先行し、本来の意味を見失いがちな「アタックサーフェスマネジメント(ASM)」について、より深く掘り下げていきたい。
筆者紹介
辻伸弘
SBテクノロジー株式会社
セキュリティリサーチャー
コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点や分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。