脆弱性を突いたサイバー攻撃にも有効な予行演習――ペネトレーションテストとゼロトラストセキュリティ：働き方改革時代の「ゼロトラスト」セキュリティ（20）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。

[仲上竜太，ニューリジェンセキュリティ]

　ゼロトラストの考え方を取り入れた最新の情報システムから、システムの保守期間を超えて運用され続けている機関システムまで含め、デジタルへの依存度が急速に高まっています。コロナ禍による不況と急峻（きゅうしゅん）なデジタル化によって急増したサイバー攻撃グループの活動は、世界中のありとあらゆる脆弱（ぜいじゃく）なデジタル環境を対象に、攻撃の機会をうかがっています。

　最近では、特に身代金を要求するマルウェア、いわゆる「ランサムウェア」による攻撃グループの標的を選ばないサイバー攻撃による被害が相次いでいます。

　2021年10月には徳島県のつるぎ町立半田病院が被害に遭い、病院の電子カルテといったシステムがランサムウェアによって破壊され、入院されている方や地域の医療に大きな影響を及ぼしました。復旧には職員が一丸となって対処し、病院機能の回復に努めました。被害に遭った半田病院はこれらの一連の被害の状況を克明に記録、有識者会議による現地調査や客観的な原因分析、再発防止策などを検討し、2022年6月7日に「コンピュータウイルス感染事案有識者会議調査報告書」として公開しています。

　ランサムウェア攻撃グループは、その多くが金銭を目的に活動しており、その標的は大企業や官公庁に限りません。サプライチェーンに位置する中小企業や、病院、学校のといった地域の公共的組織でさえも、セキュリティ対策が不十分な場合に機械的にサイバー攻撃の対象として標的になってしまう状況です。

　デジタルトランスフォーメーション（DX）推進、働き方改革に限らず、さまざまな場面で新たなデジタル化が進んでいる半面、従来利用され続けてきたIT環境に対してもシステムの構成やセキュリティの見直しが求められています。

　このようなサイバー攻撃への耐性向上を図る手段としては、情報システムペネトレーションテスト（システム侵入テスト）が有効な手段として活用されています。デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載、『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、ペネトレーションテストについて解説します。

ペネトレーションテストによる情報システムの弱点のあぶり出し

　ペネトレーションテストでは、対象組織のネットワークの構成やコンピュータシステムの利用状況の把握分析から始まり、「サイバー攻撃者と同じ立場で組織のネットワーク内でどこまで攻撃が可能か」を調査し、見つかった抜け穴や脆弱性、問題点をレポートするセキュリティサービスです。

　ペネトレーションテストを実行するエンジニア「ペンテスター」は、組織のセキュリティ監視や仕組みをくぐり抜けて目的を達成する必要があるので、最新のサイバー攻撃知識とともにネットワークアーキテクチャやセキュリティテクノロジーに深く精通しています。ペンテスターが数日から数週間かけて企業のネットワークに侵入し、ハッキングテクニックを駆使してセキュリティ検知をかわしながら目的に達する様子はまさにハッカーですが、倫理的を意味する「エシカル」を冠し、「エシカルハッカー」とも表現できる存在です。

　情報システムの管理者や情報セキュリティ責任者は、ペネトレーションテストによって、組織の情報システムに現時点で内在している問題点を洗い出すことができ、対応すべき課題の優先度や対処方法を把握できます。

　ランサムウェア攻撃の無差別化が加速する状況で、電子メールへの添付ファイルを介在して感染を広げる「Emotet」やVPN機器のゼロデイ脆弱性など、侵入される機会が増す一方、「サイバー攻撃の被害に遭ったら」を疑似体験でき、コストをかけるべき重点施策の参考になるペネトレーションテストは、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効です。

AIによるペネトレーションテストの自動化でゼロトラストをより強固にする