日本セキュリティオペレーション事業者協議会副代表が提言、ペネトレーションテストの成果を3倍おいしくいただくには:ITmedia Security Week 2023 秋
2023年8月に開催された「ITmedia Security Week 2023 秋」において、日本セキュリティオペレーション事業者協議会 副代表、そしてGMOサイバーセキュリティ by イエラエ サイバーセキュリティ事業本部 執行役員 兼 副本部長 阿部慎司氏が「ペネトレーションテストを技術観点、運用観点、組織観点で3倍美味しく活用するメソッド」と題して講演した。
これまでSOC(Security Operation Center)に関わるサービス開発や運用責任者として携わり、ISOG-J 日本セキュリティオペレーション事業者協議会から公開されている『セキュリティ対応組織の教科書』の生みの親である阿部氏が、GMOサイバーセキュリティ byイエラエに所属し、見えてきたものを語る講演となった。ペネトレーションテストを実施しようとしている組織、実施したがその結果が見えなかった組織が参考にすべき、必見の内容だ。
ペネトレーションテストのその先にあるもの
ペネトレーションテストといえば、企業組織が守りたいと思う情報資産をしっかりと守れるかどうかを、攻撃者になり切ったペネトレーションテスターによる疑似攻撃で確認するものだ。この考え方は大事ということは多くの組織で認識しているだろう。しかし、課題は「その後」にある。
ペネトレーションテスト後は、その結果を生かすために報告書にあるシステムの脆弱(ぜいじゃく)性や業務上の脆弱性を改善する流れになることが多い。緊急とされた脆弱性を優先してパッチを適用し、アプリケーションで設定されたファイルの中に存在する認証情報をチェックするなど、指摘情報への対応は最低限行われているだろう。
OWASP JapanとISOG-Jが公表している「脆弱性診断士スキルマッププロジェクト」では、もう一段先にやるべきことが記載されている。それが「サイバーレジリエンス能力の評価」だ。
運用観点からは不審なログや検知可否、対応といった点が記載されているだけでなく、重要な組織観点として「組織全体の対応に課題がないかどうかを検証すべき」と記載されている。
「技術観点+運用観点+組織観点の3つをそろえ、いよいよペネトレーションテストを実施することによって、おいしく食べるべき部分がそろう。ログがあり、検知ができ、そして対応につなげる部分の話を分解すれば、スッキリと活用しやすい形で理解できる」(阿部氏)
ログ、検知、対応をつなげていく
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ホワイトハッカー」の仕事を理系学生が体験 日立ソリューションズ インターンシップ潜入記
ドラマや映画の登場人物みたいに華やかなもの? 個人でもくもくとPCに向かうんでしょ?――ホワイトハッカーの仕事とはどのようなもので、どんな難しさややりがいがあるのか。早稲田大学の学生たちがインターンで疑似体験してみた。
脆弱性を突いたサイバー攻撃にも有効な予行演習――ペネトレーションテストとゼロトラストセキュリティ
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。
企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。