企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか:4種類のツールを使う
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。
オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年7月1日(米国時間)、ペネトレーションテストに関する解説記事を公式ブログで公開した。テストの目的と重要性の他、テストの目的と重要性の他、ペネトレーションテストと脆弱性(ぜいじゃく)評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。
Ponemon InstituteとWhiteSourceによる調査によると、外部からの攻撃やデータの盗難、権限の乱用を防ぐために、企業はアプリケーションセキュリティをますます優先するようになってきている。調査対象となった回答者のうち、53%が外部のペネトレーションテストを利用してアプリケーションを保護しており、46%が内部のペネトレーション手法を利用している(関連記事)。
ペネトレーションテストとは
ペネトレーションテスト(「ペンテスト」や「倫理的ハッキング」と呼ばれることもある)は、攻撃者が悪用する可能性があるコンピュータシステムの脆弱性を発見する目的で、関係者が実行する疑似攻撃。ITインフラに対してセキュリティの状態を分析するための一般的な手法だ。
テスターは基本的に攻撃者の目線でアプリケーションを調査し、攻撃者より早くセキュリティの穴を見つけようとする。テストの最終段階では通常、見つかった脆弱性や悪用方法、修正策の提案をまとめたレポートを作成する。テスト結果は、アプリケーションのセキュリティ対策を改善し、見つかった問題に対処するのに役立つ。
攻撃者が悪用する可能性がある脆弱性は、次のようなさまざまな問題に起因する。
- ソフトウェアの未知または既知の欠陥
- アプリケーションの不適切な構成
- 脆弱なソフトウェア設計フレームワーク
- 脆弱な脅威特定メカニズム
- セキュリティポリシーエラー
- チームのセキュリティ意識の欠如
ペネトレーションテストを実行する前に、まずテスト対象のシステムを保有する企業とテスター双方の同意が必要だ。さもないと、悪意ある違法行為ということになる。企業の経営陣の承認に基づいてテストを実施しなかった場合、テストによって企業の弱点が不正に暴露され、企業が打撃を受ける恐れがある。
企業は通常、外部契約者にペネトレーションテストを委託する。サードパーティーのセキュリティ専門家は、システムの仕組みについて内部者が持つような知識がないため、より自由な発想で、より徹底的なテストができるからだ。
一部の企業は、セキュリティ専門家が自社のシステムをハッキングして脆弱性を発見した場合に、報奨金や賞金を支払うバグバウンティプログラム(バグ報奨金制度)を実施している。
ペネトレーションテストはなぜ重要なのか
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。 - 脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開
Rapid7が中心となって開発しているオープンソースのペネトレーション(脆弱性調査)テストフレームワークの最新版「Metasploit Framework 5.0」が、公開された。 - 本当に攻撃されたら何するの?――クラウド環境での脆弱性検査とサイバー攻撃の検知・確認に関する基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。