脅威にさらされている企業ネットワークが健全な状態かどうかのアセスメントを行うための侵入テスト、いわゆるペネトレーション・テスト。これまでは単なる侵入テストでシステムの脆弱(ぜいじゃく)性を調査する手法だったものが、今では具体的な脅威をベースとした疑似攻撃を仕掛けることで、SOCをはじめとした社内体制の強化につなげる動きが主流となっている。今回は、そんなペネトレーション・テストの実態について、現状の動向を踏まえながらそのトレンドついて見ていきたい。
高野 敦史(Atushi Takano):ガートナー ジャパン株式会社 コンサルティング部門 シニア ディレクター
メガバンクにてシステム企画・導入、大手監査法人で金融機関を対象とした米国SOX法監査、システム監査、情報セキュリティ構築支援、内部統制評価、ITガバナンス構築支援、法令順守、当局対応などを経て、ガートナー入社。金融機関へのシステムリスク、情報セキュリティ、ガバナンスを担当。
「ペネトレーションテスト」は、インターネットなどの外部と接続されたネットワークを経由して、コンピュータシステムの安全性を調査するために行う侵入テストのことで、既知の攻撃手法を用いながらシステムの脆弱(ぜいじゃく)性を見つけ出すセキュリティチェックの際に利用されるものだ。一般的には、システム開発後の本稼働前に脆弱性の有無をチェックする目的で利用するが、本来は定期的な検査を実施して、システム環境の状態を最適な環境にしておく際にも役立つものだ。
開発段階ペネトレーションテストで安全性に関する課題を洗い出す手法は多くの企業が実施しているが、実は稼働後の運用に入った段階でペネトレーションテストを行ってみると、脆弱性対策などに不備が多く、結果として簡単に侵入できてしまうケースが少なくない。たとえ「ウイルス対策ソフトを導入し、パッチを定期的に当てている」と事前調査で回答した企業でも、実は自社の工場や研究所、はたまた代理店などを含めたサプライチェーン全体にきちんと適用できているかというと、十分ではないケースが多々見受けられるのが実態だ。
また外部からの攻撃では、主に特権IDを狙ってシステムを乗っ取ろうとするケースが多く見られるが、実際に特権ID管理を徹底しているとする企業でも、ペネトレーションテストを実施すると簡単に乗っ取ることができてしまうこともある。なぜならば、攻撃者は管理者の心理を十分に把握しており、特権IDのパスワードも容易に見つけ出してしまうからだ。
具体的にはパスワードが定期的に変更されていないばかりか、パスワードが覚えられないためにテキストファイルに情報をメモし、隠しファイルで管理している管理者は多く存在する。そんな事情をよく理解する攻撃者は、“隠しファイルで管理しているだろう”という想定で侵入を試みて、お目当てのパスワードを見つけ出すわけだ。
容易に侵入させる環境を生み出しているのは、何も特権IDの管理者だけではない。システム開発者が用意している開発用のwikiなどには、後任者への円滑な引継ぎに向けて、本番環境操作の手続きの仕方やプロトコルの種類まで詳細に情報を残していたりする。そのwikiを読み込んでしまえばシステムへの侵入は容易にできてしまう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。