ITド素人の私でも分かった!企業が検討すべきペネトレーションテストの広い意味と狭い意味を正しく理解しよう
こんにちは。
Webセキュリティに関するブログの担当を拝命しました「もちゃじ」と申します。前職はインドで社長秘書をしていてこれまでIT業界にいたこともなく、PCやら何やら、何かあれば会社のIT担当に泣きつくことでデジタル社会を渡り歩いてきました私です。ITド素人の私がWebセキュリティについて勉強して少しずつレベルアップしていく(はずです、きっと)様子にお付き合いください。
今回のブログのお題は「ペネトレーションテスト」です。人生で初めて聞いた言葉、ペネトレーションテスト……動揺をカクセマセン。
早速先輩たちに教えを乞うことにしました。
ペネトレーションテストってどんな意味?
まずはその意味から。Penetration test、日本語で「侵入テスト」、別名「擬似アタックテスト」または「ペンテスト」。
IT用語辞典には「penetration:侵入、潜入、浸透、データ処理システムに対する認可されていないアクセス」とありました。「market penetration(市場参入)」という単語は見聞きしたことがあるような気がするのですが、あらためて英単語の勉強にもなりますね。
ペネトレの目的は?
セキュリティレベルを向上するために行うもの。
で、どういうもの?
開発中や実際に運用しているシステムに対して、あの手この手で模擬のサイバー攻撃を実施し、システム内部への侵入を試みるテストです。専門のやり手技術者「ホワイトハッカー」と呼ばれる人たちが担います。それにより、現状のセキュリティ対策の有効性が分かり、どこに脆弱性があるか分かるというものです。
テスト自体は属人的と言えるかもしれません。ホワイトハッカーの経験や技量により、テスト結果に差が生まれるからです。
え?デジタルやシステムだけじゃないの!?
驚いた点は、ホワイトハッカーはデジタル領域の侵入にとどまらないということです。PCなどからの侵入テストを想像していた私にとっては、目からうろこ。このあたりをちゃんと理解しておくことが大切なんだなと襟を正した次第です。
では、ペネトレーションテストの定義はというと、これがなかなか難しいところがあって、広義・狭義と2つの領域があるようです。広義の領域は、システム以外からも侵入すること。狭義の領域は私が当初イメージしていた、主にPCなどからシステムに侵入することを指しているのだとか。
早速つまずきそうですが、まずは正しく理解することが先! システム以外からも侵入する(広義の領域)とはどういうことなのでしょうか。
それはもう不二子ちゃん!?
ホワイトハッカーは目標を達成するための手段を問わず、あらゆることを想定してアナログの世界を含めて侵入を試みます。変装して物理的に侵入してみたり、電車やカフェなどで対象の隙を窺ってみたり、対象が捨てたゴミを拾ってでも情報収集をいといません。懐に入り込んで情報を抜くこともあります。それはもう不二子ちゃんなのでは、と思うわけです。
システムだけで頑張って侵入を防御していても、扱う人の意識が低い場合は、ヒューマンエラーによる損失を出してしまいますよね。とはいえ、もし相手が不二子ちゃんだった場合、いったい誰が不二子ちゃんに勝てるのでしょうか。不二子ちゃんはそもそもホワイトかどうかの疑問は一度棚に上げさせていただきますね。
社員への意識づけまでやっちゃう
ペネトレーションテストでは社員の意識チェックを行うこともあります。抜け目がないですね。
そういえば前職で、抜き打ちチェックの目的で怪しいURLリンクやファイルが貼られたメールを送り、社員は開けてしまうかどうかのテストメールがIT部門から定期的に届いていました。ボスがまんまと開いてしまい、代わりに何回かお叱りと指導をいただいたことを覚えています。テストメールで良かったですよね。
このように、セキュリティはシステムだけでなく扱う人の意識も非常に大切、ということが分かります。
どういった企業が検討するべき?
ペネトレーションテストは、大掛かりであるため、重要インフラやCSIRT(Computer Security Incident Response Team)があるような大企業向けともいわれています。
そこで、比較したいのがWebセキュリティ診断なのですが、それはまた別途記事を書きますね。ここで多分、狭義のペネトレのことも触れられるような・・・。
ペネトレーションテストのまとめ
ペネトレーションテストは、ホワイトハッカーにより実際にシステムの侵入を試みて、攻撃に対する脆弱性や現状のセキュリティ対策の有効性をテストするものです。システム以外にも物理的な侵入を試みたり、社員の意識づけをチェックしたりと、多方面から行うテストです。
今回登場した用語
| ペネトレーションテスト | 侵入テスト、別名は擬似アタックテスト、ペンテスト |
| ホワイトハッカー | コンピューターやネットワークに関する高度な知識や技術を持つ「ハッカー」のうち、サイバー攻撃から企業ネットワークやシステムを守る専門家。善意のもとに活動するハッカーのこと |
| 重要インフラ | 国民生活及び経営活動の基盤であって、その機能が停止した場合に国民生活又は経済活動に多大な影響を及ぼす恐れが生ずるもの(「サイバーセキュリティ基本法」より) |
| CSIRT | Computer Security Incident Response Teamの略で読みはシーサート。コンピューターセキュリティに関する事故対応チームのこと |
ふぅ…書き終えた
ペネトレ(と略してみる)、学ぶことが多いなぁ。私の理解に合わせると、意図せずシリーズ化することになりそうですね。第1回目ですが、既に頭から煙が出そうです。そのうち燃え尽きてしまうかもしれません。先輩、骨は拾ってください。あ、灰か。
続きの記事はこちらです。
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。