検索
連載

ASV検査、ペネトレテスターの思考を追うセキュリティ対策の「ある視点」(14)(4/4 ページ)

PCI DSSで定められた脆弱性スキャンテストを行う組織、ASV。彼らの検査手順と考え方をトレースし、セキュリティの意味を再考せよ!

Share
Tweet
LINE
Hatena
前のページへ |       

検査はせめて、人間らしく

 なぜ、このような簡単な非検出が起きてしまったのだろうか。ここで1つ想像していただきたい。

【前提】

居室内に複数のナンバーロックがある。テンキーのような数字で開錠するようなものである。その1つのパスワードナンバーが「1111」だということをショルダーハックなどの方法で知り得たとする。


 それでは、複数あるほかのナンバーロックのパスワードは何だろうか?

【推理】

  • そんな簡単なパスワードを設定するくらいだから、ほかのパスワードも同じ「1111」?1111」?
  • 同じような流れでゾロ目パターンを採用して「2222」や「3333」とか? いや「0000」か?2222」や「3333」とか? いや「0000」か?
  • 「1111」は実は連番で設定されているものの1つ戻って「1110」? 進んで「1112」?1111」は実は連番で設定されているものの1つ戻って「1110」? 進んで「1112」?

 いろいろ、想像できたのではないだろうか。

 それは、あなたが人間であるが故に考えることができたのだと筆者は思う。ツールはプログラミングされたロジックの上でしか動くことができない。人間のように考えることはできないのである。脆弱性スキャナによるチェックを行うだけで、ペネトレーションテストという言葉が使われる場合がある。しかし、それは違う。

 ペネトレーションとは「貫通」や「浸透」という意味である。さまざまな要素を組み合わせ、貫通することができるかどうかをテストする。表層的なアウトプットだけではペネトレーションテストとは呼べない。ペネトレーションテストと呼ぶには、人間の思考は不可欠であると筆者は考える。

 しかし、脆弱性スキャナが不要であるということをいっているのではない。人間はさまざまな目的を達成するために、さまざまな手段、道具を用いる。いうまでもない当たり前のことである。


 ペネトレーションテストは、世の中で提供されているサービス名で、「セキュリティ診断」「セキュリティ検査」と呼ばれることが多い。少し極端だが、健康診断に例えてみよう。

 脆弱性スキャナはレントゲン機器、医師はわれわれ、検査者である。自身の体に不安を覚えているのに、レントゲン撮影だけが行われ、そのアウトプットであるレントゲン写真だけを「はい。どうぞ」と医師に渡されたらどうだろう。そこに大きな問題があっても気付くことはできないかもしれない。問題がないのにもかかわらず、小さな影のようなものをガンだと思い込み、さらに不安に駆られる結果になるかもしれない。とすれば、医師の見解が欲しいと感じるだろう。そして、必要があれば、精密検査を受け、治療を行い、健康な状態に戻ることを望むはずである。

 脆弱性スキャナは、勉強さえすれば使い方を習得することは可能である。しかし、その結果をどう判断し、どう扱うのかということは、センスや勘、そして、経験が必須である。

 私たちを取り巻く、さまざまなネットワークには常に多くの脅威が存在している。たった1回の不注意、たった1つの脆弱性が重大な事態を招く大きな要因になってしまう。

 その事態を引き起こすのはなんだろうか。コンピュータウイルス、ワーム、攻撃プログラム。しかし、その向こうには人間がいるはずである。コンピュータウイルスも人間が作成し、システム障害も人間の不注意、設計ミスなどが原因で起きる。自然界とは違い、人間の意思とは関係なく、脅威が自然発生するようなことは、いま現在はないだろう。

 敵は常に意思、思考を持つ人間である。ペネトレーションテスト1つを取っても、そこに人間の意思、思考がなければ、その敵に対抗することはできないのではないだろうか。

 技術やシステムは、手間や費用を軽減するために存在する。人間と技術、システムは不可分である。とすれば、どちらか一方での解決を図ることは不可能であるといっても過言ではないだろう。100%人間だけで解決することも、100%技術やシステムで解決することも非現実的であると筆者は考える。

 すべてを技術やシステムで解決したいという考えは非常に理解できる。しかし、数字、割合で見ればちっぽけなものかもしれないが、ツールだけでは決して解決できない、大きな意味を持つものが数パーセントはあるはずである。

 その問題すらも、私たち人間ならば解決できるものであると筆者は確信している。

著者紹介

NTTデータ・セキュリティ株式会社

辻 伸弘(つじ のぶひろ)

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。



Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る