ペネトレーションテストとサイバー攻撃

オリゾンシステムズでは、昨年チェコ企業Trusted Network Solutions(TNS)社との協業による、 ペネトレーションテスト のサービス提供を開始しました。ペネトレーションテストは、システムやアプリケーションに対して攻撃をシミュレートし、その脆弱性を発見するためのセキュリティテストの手法です。TNS社はこの分野での実績も多く、FirewallやWAF製品もポートフォリオとして持つセキュリティに特化した専門企業となります。

TNS社によると昨今中央ヨーロッパ地域では、サイバー攻撃も各種フィッシング系のものやUSB Baitingなど、人の脆弱性を突く攻撃パターンが多くなっている兆候があるようです。また、ロシアのウクライナ侵攻後約3倍となっていたチェコ共和国のサイバー攻撃数も、ここ数ヶ月で落ち着いてきている一方、傾向としてはe-コマース系のお客様からのテスト依頼が増えている状況で、日本国内と同様にビジネスに直接被害を及ぼすサイバー攻撃の増加傾向が見られます。

IT基盤への攻撃リスクの高まりから、ペネトレーションテストの認知度も高まっていますが、一部のお客様からは「ペネトレーションテストとはどのように行うのか?」というご質問をいただくことも多く、ややイメージしにくいサービスと言えるかもしれません。このオリゾン通信記事では、オリゾンシステムズでご提供するペネトレーションテストの概要についてご紹介させていただきます。


ペネトレーションテスト概要

このテストはITインフラまたはそれを利用する「人」を対象としたセキュリティテストであるため、テストの実施に当たっては業務要件やシステム要件などに依存します。そのため、テストの範囲及び対象の優先順位付けが必要となります。

テスト形態

テストのアプローチとして3つのテスト形態(ブラックボックス、ホワイトボックス、グレーボックス)に区分けされています。

ブラックボックスでは、構成情報などの事前内部情報を持たずに、外部より調査を開始するものとなります。事前の内部情報を持たない前提となるので、インターネットからの第三者の外部攻撃を想定したものと考えられるでしょう。ホワイトボックスでは、アーキテクチャーや構成に関する詳細な情報をベースに行うテストとなるので、管理者レベルの情報を持つ攻撃者による内部犯行がシミュレートされることになります。グレーボックスでは限定的な内部情報を持つ前提となるため、例えば退職者や一定のシステムアクセス権を持つ関係先による攻撃活動を想定したものと言えます。ペネトレーションテストの実施にあたっては、お客様から提供される情報に基づき、どのテスト形態での実施となるかの合意のもと、行われることとなります。

手法とツール

ペネトレーションテストで参照される方法論としては以下のものが挙げられています。

  • OWASP:(The Open Web Application Security Project)Webアプリケーションに特化したオープンコミュニティーで、”Web Security Testing Guide”をリリース。
  • OSSTMM:(Open Source Security Testing Methodology Manual)Institute for Security and Open Methodologies (ISECOM)により運営されている、オープンソースに対するテスト標準となる当該ドキュメントをリリース。
  • PTES:(Penetration Testing Execution Standard)ペネトレーションテストを実行する際に参照されるべき標準。
  • NIST/ISACA標準:(NIST)National Institute of Standards and Technology: 米国国立標準技術研究所 /(ISACA)Information Systems Audit and Control Association:情報システム、情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査等、情報通信技術専門家の国際的団体。

また利用する汎用ツールとしては、Nessus Professional, Burp Suite Pro、metasploit, sqlmap, Nmap, OpenVAS, tcpdump, WireShark, Hydra, aircrack-ng, evilginx, これらのほか Kali Linuxの搭載ツール類があり、また独自開発ツールなども使用しています。これらの実際の使用事例は、YouTubeなどでも多く動画で提供されているため、ご参照いただけるとよいでしょう。この 動画 では、対象システム(IP)へnmapでアクティブなサービス(ポート)を確認し, metasploitでその脆弱性を確認してゆき、侵入するシナリオを解説しています。ペネトレーションテストの意義は、ここで行われているような操作を、第三者に対して許さず、そのシナリオを事前に実施しそれによってもたらされるリスクを掌握し回避するためにあるものと理解ができます。


テストの流れ

ペネトレーションテストは以下のようなステップを経て進められます。

  1. データの収集
    2. まず対象となるHW資産・SW資産の特定に向けた情報収集と、テストシナリオの定義の確認が行われます。ここで前述のnmapの操作事例のような、様々なスキャニングなども実施されることになります。
  2. 資産のアセスとゴールの特定
    3. ここではOSやファームウエアの特定、データの機密性などが評価されます。テスト対象としての優先順位付けが行われ、対象とシナリオの絞り込みが行われます。
  3. 脆弱性の特定
    4. 主に自動ツールなどを利用し、既知の脆弱性を特定してゆきます。システム構成やデータの転送方式および認証などの、設定や構成について適切かどうかも洗い出されてゆきます。
  4. 脆弱性の検証とセキュリティ侵害の試み
    5. ここでは具体的に検出された脆弱性を利用して、不正アクセスやユーザー権限の昇格ほか、様々な不正行為の実施可否を確認してゆきます。ここでは実際の業務運用に影響を与えることのないよう、最も注意を払い実施されます。前ステップでの、自動ツールを利用した作業では検出されなかったエラーなどを確認してゆきます。
  5. 脆弱性の悪用後の影響の特定
    6. 前のステップで侵入可能となった部位について、それらが悪用される可能性とその影響度を調べてゆきます。
  6. 報告
    7. テスト手順の詳細な説明、検出された脆弱性の概要、重大度、影響、およびリスクの評価を伴うセキュリティの抜け穴などが報告書にまとめられます。この報告書では、脆弱性を排除し、リスクを最小限に抑えるための対策について、その推奨事項が記述されます。
  7. 再テスト
    8. 報告書に基づいたIT基盤の修正が行われたのち、その確認のための検証が行われます。またこの再テストにより、実施したIT基盤の修正対応がもたらす恐れのある、新たな脆弱性などの確認にも有効となります。

これらのステップにおいて、適宜オリゾンシステムズがお客様とのインターフェースとして対応させていただくこととなります。また報告書はTNS社からは英語でのご提出になりますが、その日本語版についてはオリゾンシステムズから追ってご提出する流れになります。


サイバー攻撃への耐性

利用サービスや製品は常に更新され、それに伴い脆弱性が生まれています。また、攻撃者の手法も常に進化・変化するものと想定する必要があります。TNS社のお客様の多くは定期的なテストを受け、サイバー攻撃に対する耐性を維持しています。自社のみならずサプライチェーンでつながる関連企業の被害を回避するためには、自社の業態・ITインフラに適したサイバー攻撃耐性を維持する仕組みの確立が、もはや避けられない状態となっています。

ペネトレーションテストサービスは、日々進化を遂げる攻撃者の手法や、更新されたサービスや製品に伴って生じる脆弱性に対抗し得る、有効な手段です。今後はこのようなサービスを活用することで細かなセキュリティ上の問題を特定し、攻撃者の目線で自社のシステムやネットワークを評価・修正することが、より安全なシステムを構築するのに不可欠だと言えるでしょう。来たるべき攻撃に備え、ビジネスの安定性確保に期待ができるペネトレーションテストについてより詳しく知りたい方は、この「 ペネトレーションテスト」より、サービス概要をご確認ください。

お見積りなど細かくご相談されたい方は、 こちらよりお気軽にお問い合わせください。担当よりご連絡させていただきます。