システムに脆弱性が存在すると、機密情報の漏洩や金銭的な損失だけでなく、企業の信用にもかかわる重要な問題に発展することがあります。しかしながら、存在する脆弱性を自社内で効率良く検査するには、時間やコストがいくらあっても不十分です。そこで取り入れたいのがペネトレーションテストです。
ペネトレーションテストは、ハッカーの視点で疑似的なサイバー攻撃を実施する手法のことで、セキュリティの専門家により脆弱性の箇所・必要な対策・想定されるサイバー攻撃被害まで確認できます。セキュリティの検査には脆弱性診断もありますが、それとは少し異なります。今回はペネトレーションテストの概要を紹介し、脆弱性診断との違いについて詳しく解説していきます。
この記事の目次
ペネトレーションテストとは
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、実際に起こりうるサイバー攻撃のシナリオに沿って疑似攻撃を実施する手法のことを指します。日本語では「侵入実験」や「侵入テスト」とも呼ばれることがあります。
テストの際は、まずシステムにセキュリティ上の脆弱性が存在するかどうか確認し、様々な技術を駆使して侵入を試みます。テストによって明らかになった脆弱性を解消しておくことで、サイバー攻撃被害を未然に防ぐことができます。
ペネトレーションテストに特化した無料ツールもあり、簡易的なテストであれば自分で実施することもできます。しかし、しっかりとしたテストを実施するには、ペネトレーションテストに特化したセキュリティ企業などに依頼することが必要です。
ペネトレーションテストと脆弱性診断の違い
ペネトレーションテストと脆弱性診断は、どちらもセキュリティ対策の一環として実施されるという共通点がありますが、その目的とテスト手法に大きな違いがあります。
- ペネトレーションテスト:脆弱性を利用した疑似攻撃を仕掛け、想定される被害範囲を検証する
- 脆弱性診断:システム上の欠陥や不備の箇所を検査・特定する
ペネトレーションテストは、特定の意図をもつ攻撃者が攻撃に成功するかどうかを検証するテストです。検証対象のシステムの構成などに応じて、想定される攻撃のシナリオを作成し、実際に攻撃が成功するかどうかをテストします。システム全体を網羅的にテストするのではなく、特定の脆弱性や問題点を発見することを目的としています。
一方、脆弱性診断とはシステムに存在する脆弱性やセキュリティ的な不備を網羅的に検査します。アプリケーションやファイアウォール、ルーターやサーバーなどシステムやネットワーク内の潜在的な脆弱性の特定が目的です。そのため検査範囲はペネトレーションテストよりも広範囲なものであり、ツールなどを使って定型的な手法が使われることもあります。既知の脆弱性に対しては効果的ですが、ゼロデイのリスクの検出には向いていません。
ペネトレーションテストが攻撃を予防するためのものであるとすると、脆弱性診断は攻撃されるリスクを発見するためのものであると言えるでしょう。
ペネトレーションテストの方法
ペネトレーションテストを実施する企業や、使用するツールやサービスなどによって、方法は異なりますが、概ね以下のような流れでペネトレーションテストは実施されます。
1.ヒアリング・準備 | テスト対象のシステムのネットワークの構成、個人情報や機密情報の保管状態、アクセスログなどの取得状況などを考慮し、どのような診断・テストを行うかシナリオを作成します。 |
---|---|
2.攻撃・侵入テスト | 作成したシナリオに従って攻撃・侵入を実施して、結果を記録します。自動的に行われるテストや、手動で行うテストや確認など様々な方法で攻撃・侵入を行います。 |
3.報告書の作成 | テスト結果をまとめ、報告書を作成します。 |
テストにおける攻撃・侵入の方法は大きく分けて4つあります。
ホワイトボックステスト | テスト対象のシステムの内部の構造を把握した上で、顧客に合わせた内容で行うテスト |
---|---|
ブラックボックステスト | テスト対象のシステムの内部構造は考慮せずに、外部から把握できる機能を検証するテスト |
外部ペネトレーションテスト | 攻撃者がシステムの外部から攻撃してくることを想定したテスト |
内部ペネトレーションテスト | システムの内部にすでに攻撃者が侵入していることを想定したテスト |
ヒアリング・準備段階でテストのシナリオを作成し、ホワイトボックステストやブラックボックステストを組み合わせて複合的にテストを実施します。
ペネトレーションテストの実施後に、テスト結果をまとめたレポートや報告書を作成します。攻撃に成功した回数や時間、権限の取得経路などをまとめたものです。明らかになった脆弱性に対して、具体的な対策方法などが提示されます。
ペネトレーションテストの価格
ペネトレーションテストは個人向けの無料で行えるツールもありますが、一般的にはペネトレーションテストを専門で行っている企業に依頼することが多いでしょう。テスト実施者のスキルやシナリオの内容によって、必要な費用は数十万円から数千万円規模になることもあります。
ペネトレーションテストの価格についてより詳しく知りたい方はこちらの記事をご覧ください。
ペネトレーションテストのメリット
ペネトレーションテストには以下の3つのメリットがあります。
- 実際にシステムに侵入できるか安全に調査できる
- システムの環境に合わせたテストが実施できる
- テスト後に調査結果をまとめた報告書が得られる
実際にシステムに侵入できるか安全に調査できる
ペネトレーションテストを行うのは「ホワイトハッカー」と呼ばれるハッキング技術の専門家で、一般的に「ハッカー」と呼ばれるような不正アクセス等を通じて犯罪行為をする者とは異なります。
あくまでもテストとして侵入検査を行うため、安全な環境で調査できます。
システムの環境に合わせたテストが実施できる
ペネトレーションテストでは、具体的な攻撃シナリオに沿って疑似攻撃を実施します。
テストの前に、システムやネットワーク構成などの環境を調査し脆弱性を確認したうえで侵入テストに移るため、対象のシステムに応じたリアルなテストが実行できます。
テスト後に調査結果をまとめた報告書が得られる
ただテストを行うだけでなく、テストの実施者による報告書を作成してもらえます。Webや対面による報告会が行われることもあります。
報告書に記載される内容は依頼する企業によって異なりますが、脆弱性の内容や対策方法の報告だけでなく、セキュリティ対策ソフトやツール等の選定・導入提案までサポートしてもらえる企業もあります。
ペネトレーションテストのデメリット
ペネトレーションテストには以下の2つのデメリットがあります。
- テストの内容によっては膨大なコストがかかる
- テスト実施者のスキルによって、成果が異なる
テストの内容によっては膨大なコストがかかる
テスト対象の規模の大きさや、テスト項目の多さによっては、膨大なコストがかかることがあります。
実際の価格については想定するシナリオによっても大きく異なるため、まずは見積りをもらってから検討するとよいでしょう。
テスト実施者のスキルによって、成果が異なる
ペネトレーションテストの実施には高度なスキルが求められます。テスト実施者のスキルやツールの操作方法の熟練度によって、検証によって見つかる脆弱性や侵入の結果、対策方法などの得られる成果が異なることがあります。
ペネトレーションテストのメリットとデメリットについては、当サイトの別の記事にまとめてあります。ご参照ください。
ペネトレーションテストの注意点
ペネトレーションテストを実施する前に、どのような項目をテストし、どの程度まで脆弱性を探るのか、あらかじめ決めておくことが必要です。
またペネトレーションテストを専門で行うツールなどもありますが、ツールで明らかになった結果は、最終的には人間が判断することになります。
ペネトレーションテストはシステムの開発時に一度だけ実施すれば良いというものではありません。システムの改修や、使用しているソフトウェアのバージョンアップなど、システムの環境が変化したタイミングでの再実施も重要です。
またシステムへの攻撃手法も日々進化しています。定期的なペネトレーションテストの実施により、新しい攻撃手法への対策を講じることもできるのです。
ペネトレーションテストでおすすめの会社
ペネトレーションテストはまだまだ一般的に馴染みが薄く、国内でサービス提供している会社も多くはありません。
テストを依頼する際は、フォレンジック調査会社から選ぶのがおすすめです。「フォレンジック調査」とは、スマホやPCなどの記憶媒体やネットワークに残されているログ情報などを調査・解析することで、サイバー攻撃被害を受けた際の攻撃経路調査や社内不正調査などに活用される技術です。
実績豊富なフォレンジック調査会社であれば、実際の被害事例からよりリアルな攻撃シナリオの想定が可能である上に、効果的なセキュリティ対策や万が一サイバー攻撃を受けた際にどういった事後対応が必要になるかといった解像度の高いシミュレーションが可能です。
今回、国内でペネトレーションテストを提供しているフォレンジック調査会社のなかから、サイバー攻撃に関する知識・技術に精通していて信頼性の高い調査会社を選定しました。相談先に迷った場合は、こちらのデジタルデータフォレンジックにご相談いただくことをおすすめします。
おすすめ調査会社:デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、ペネトレーションテストにも対応しています。海外においてペネトレーションテストを実施するための必須要件ともいわれるOSCPの資格保持者が在籍しており、レベルの高いテストが可能です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。24時間365日の相談窓口があり、相談から見積りまで無料で対応してくれるので、まずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: ペネトレーションテスト(侵入テスト)、セキュリティ診断(脆弱性診断)、OSINT調査(ダークウェブ調査)、パスワード解除、デジタル遺品調査、 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
ペネトレーションテストの概要と脆弱性診断との違いについて紹介してきました。自社のセキュリティ対策としてどちらをやればいいのか、気になると思いますが、結論からすれば両方やることが推奨されます。しかし限られた予算でセキュリティ対策を行う必要がある担当者にとって、両方とも実施するのは難しいかもしれません。
システムの特徴や環境などを加味し、重視しているポイントなどを考慮することで、どちらを優先させるのか変わってきます。まずはテストの実施者と相談した上で、より効果的な方を選択することが重要です。