たった1つの脆弱性がもたらすシステムの“破れ”：セキュリティ対策の「ある視点」（16）（3/3 ページ）

検査結果の報告では、発見された脆弱性を個別に5段階評価する。ではシステム全体の評価はどう算出すべきだろうか。

[辻 伸弘（ソフトバンク・テクノロジー株式会社），＠IT]

危険度「5」の指摘事項が発見された検査対象では

　これらの個別の指摘事項に対する評価は、前述した検査対象の評価のもととなるものである。顕著な例として、危険度「5」の指摘事項が発見された場合を見てみよう。

　この場合、検査対象の管理者権限を奪取することに成功しているため、これ以上にない危険な状態であると判断できる。これは、前述した「D」ランクの説明とリンクしていることがお分かりいただけるかと思う。

　つまり、指摘事項の総数が10件であっても、100件であってもその中に1つでも「5」が検出されれば、その検査対象の評価は最低ランクの「D」となる。

　これは、「ウイーケストリンク」の考え方であると理解していただければいいだろう。

　ウイーケストリンクとは、システムのセキュリティを「鎖」に例えたよく使われる表現のことで、鎖の最も弱い部分のことを指すものである。弱い部分が1つでもある鎖を使い続けると、その弱い部分から破たんを起こし、結果的には鎖全体に悪影響が波及するということである。

　1つでも大きな脆弱性がシステム内に存在した場合、それに引きずられ検査対象の評価が下がるということである。

これを対応させて考えると

• 危険度「5」の指摘があれば評価「D」
• 危険度「4」の指摘があれば評価「C」
• 危険度「3」の指摘があれば評価「B」
• 危険度「2」「1」の指摘があれば評価「A」

というのが目安と考えていただいていいだろう。

　しかし、世の中のもののほとんどがしゃくし定規では測ることができず、「例外」というものが存在するように、ペネトレーションテストの結果の判断でも「例外」と呼ぶべきものが存在する。それはどのようなものか??それは、最終回で実例とともに紹介することにしよう。

（続く）

著者紹介

NTTデータ・セキュリティ株式会社

辻　伸弘（つじ　のぶひろ）

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

「セキュリティ対策の「ある視点」」バックナンバー

• Q.E.D.――セキュリティ問題を解決するのは「人」
• たった1つの脆弱性がもたらすシステムの“破れ”
• 報告、それは脆弱性検査の「序章」
• ASV検査、ペネトレテスターの思考を追う
• プレイバックPart.II：シフトした脅威の中で
• プレイバックPart.I：ウイルスのかたち、脅威のかたち
• ハニーポットによるウイルス捕獲から見えてくるもの
• SNMPコミュニティ名、そのデフォルトの価値は
• 人の造りしもの――“パスワード”の破られ方と守り方
• 魂、奪われた後――弱いパスワードの罪と罰
• 魂まで支配されかねない「名前を知られる」という事件
• 己を知り、敵を知る――Nmapで見つめ直す自分の姿
• DNS、管理者として見るか？ 攻撃者として見るか？
• メールサーバ防御でも忘れてはならない「アリの一穴」
• 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
• ディレクトリ非表示の意味をもう一度見つめ直す
• たった2行でできるWebサーバ防御の「心理戦」