検索
連載

侵入者にとってクラウドはメリットだらけ? 上野宣氏が語る「ゼロトラストの狙い方」ITmedia Security Week 2022夏

ITmedia Security Week 2022夏のDay3「クラウド&ゼロトラスト」基調講演で、トライコーダの上野宣氏が「侵入者は信用される! 攻撃者が狙う『ゼロトラストの穴』」と題して登壇した。

Share
Tweet
LINE
Hatena

 ゼロトラストといえば、混沌(こんとん)としたサイバー空間における「救世主」ともいわれる存在であり、多くの企業が新たなセキュリティ対策として取り入れようとしている。しかしそこには、意外な穴があるのではないか――。自身もペネトレーションテスターとして活動し、セキュリティ教育にも携わるトライコーダ 代表取締役の上野宣氏の視点で語るセッションをレポートする。

そもそも、ペネトレーションテストはなぜ必要なのか?


トライコーダ 代表取締役の上野宣氏

 ファイアウォールを入れる、アンチウイルスを入れる、EDR(Endpoint Detection and Response)を導入する――。セキュリティ対策をしていない企業はもはやないだろう。では、そのセキュリティ対策は果たして“機能”しているのだろうか?

 複数のセキュリティ機能を導入していた場合でも、それがどのように総合的に機能しているのかについて、全て把握している企業は少ないかもしれない。

 「皆さんが想定している脅威よりも、現実の脅威の方が複雑、かつレベルが高い。だからこそ、個別の対策が総合的に機能しているかどうかを知りたいはず。本来必要な対策が見逃されていないかどうかを判定するものがペネトレーションテスト。いわば“組織やシステムのセキュリティ総合力を確かめる”ものだ」(上野氏)

 ペネトレーションテストについては、いわゆる「脆弱(ぜいじゃく)性診断」とは、「少々異なる」と上野氏は述べる。脆弱性診断には、Webアプリケーションやプラットフォーム、OS、デバイスなどの問題点を網羅的に探し、侵入できてしまう部分を探す性質がある。ペネトレーションテストはそれらだけでなく、物理的なセキュリティや、従業員が守るルールの穴なども含めテストする。顧客との契約の後、例えば「本番データベースの内容を盗む」といったゴールを設定する。その後、システムへの侵入のために、人をだますようなフィッシングや物理侵入を含め、ゴールをクリアするためにサイバー攻撃者と同じ立場で疑似的に攻撃するのがペネトレーションテストだ。

 上野氏本人も、最近、物理侵入のために鍵師の資格を取得したという。多角的な疑似攻撃を行うペネトレーションテストは、脆弱性診断とともに「セキュリティレベルがある程度成熟した組織には重要なもの」と上野氏は述べる。


ペネトレーションテストと脆弱性診断との違いは(上野氏の講演資料から引用)

いまのサイバー攻撃のかたち

 次に上野氏は「セキュリティにおける領域」について話した。サイバー犯罪、サイバー攻撃だけでなく、データガバナンスや情報保全、管理などを総合的に考えなくてはならない。


セキュリティにおける領域(上野氏の講演資料から引用)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る