ペネトレーションテストのシステムって?シナリオって?セキュリティ診断(脆弱性診断)と何が違うの?
こんにちは。
ITド素人のブログ担当「もちゃじ」です。お題「ペネトレーションテスト」の壁が眼前に高くそびえ立ち、その頂を見上げていたらいつの間にか踏ん反り返ってしまった私です。さ、気を取り直して。
ペネトレーションテスト、二つの領域おさらい
前回の記事では、ペネトレーションテスト(以下、ペネトレ)には「広義と狭義」、二つの領域があることを学びました。実際にシステムへの侵入を試みることで、システムの脆弱(ぜいじゃく)性や現状のセキュリティ対策の有効性をテストする「狭義の領域」。システム以外にも物理的な侵入を試みたり、社員の意識付けをチェックしてみたりと多方面から行う「広義の領域」があります。
今回はもう少し踏み込んでみます。
システムって何のこと?
ペネトレでいうところの「システム」って何のことなのでしょうか。システムへ侵入を試みるテストの話なのに、何に(どこに)侵入するのかよく分かっていない私。何やらそれっぽいのがありますよね。Webサーバー、Webアプリケーション、DBサーバー、データベースなどなど。
すみません。担当もちゃじ、そこからなんです。お付き合いくださいませ。
早速今回も先輩たちに教えを乞いました。
まず「システム」とは、いくつかの要素が集まってできた仕組みのことを指します。ふむふむ。前回勉強したペネトレの二つの領域でいうと、狭義の「Webアプリケーション、データベース、サーバー」もシステムですし、広義では「運用する人や建屋、建屋の設備など」もシステムとして考えられます。
銀行を例に挙げると「金庫、窓口、ATMなど」がシステムといえますね。ふむふむふむ。ペネトレはさまざまなシステムに対して行われるので、どこまでをシステムと定義するかでシナリオ(後に出ます)が変わってくるのだそう。
セキュリティ診断(脆弱性診断)ってやつもあるよね?
ところで、セキュリティ診断(脆弱性診断)というものがありますよね。こちらも脆弱性についての診断をうたっています。ははーん。セキュリティ診断をちょっと今風に言ってみたのがペネトレか。いつの間にかスパッツがレギンスに、ベストがジレになったようにね。と、思ったそこのあなた(私です)違います!全然違います!
ペネトレは既知の脆弱性を利用してシステムにどんどん侵入します。一方で、セキュリティ診断(脆弱性診断)は脆弱性を検出するものです。
んー、簡単に言うと?
家屋の防犯を例にペネトレーションテストとセキュリティ診断を比較してみましょう。
目的
ペネトレーションテスト
防犯や犯罪心理などのスペシャリストが犯罪のシナリオを作成し、対象の家屋の防犯不備を突くことはもちろん、あらゆる手段を使ってシナリオが達成できるかを調査すること
セキュリティ診断(脆弱性診断)
防犯のスペシャリストが、過去のあらゆる犯罪手口を対象の家屋に当てはめて、抜け道がないか網羅的にチェックすること
手法
ペネトレーションテスト
既知の犯罪手口を利用する。対象の家屋の状況に合わせてさまざまな手法を試す。シナリオによっては、対象の家屋を壊すこともある
セキュリティ診断(脆弱性診断)
既知の犯罪手口が通用するか、全てを一つ一つ確認する。このとき、対象の家屋を壊す恐れがある手法はなるべく避けるようにする
実施内容
ペネトレーションテスト
・玄関ドアの鍵の施錠有無確認
→施錠なし
→玄関ドアから侵入
→寝室へ移動
→金庫を発見
→ダイヤルロック発見
・誕生日会の写真を発見
→誕生日判明
→ダイヤルロックの番号を誕生日で開錠
→現金10万円を発見
※上記は例であり、シナリオの一部です
セキュリティ診断(脆弱性診断)
・犯罪手口1→OK(防犯成功)
・犯罪手口2→NG(防犯失敗)!
・
・
・
・犯罪手口100→OK(防犯成功)
対策
ペネトレーションテスト
この対象の家屋への具体的な対策を提示する
セキュリティ診断(脆弱性診断)
NG(防犯失敗)となった犯罪手口2の一般的な対策を提示する
ペネトレは、想定するシナリオを実行できるかどうかあらゆる手段で試します。これに対しセキュリティ診断(脆弱性診断)は、被害を受ける恐れがあるかどうかを網羅的に確認します。
シナリオって何?
ペネトレで行う侵入者目線の「シナリオ」。んー、それは何なんだって思う私。ペネトレ(侵入)チームと、依頼者(防御、調査される)チームで交わす約束事をシナリオというらしい。シナリオの内容は、ゴール(依頼者の希望やそのシステムで重要なこと)+スコープ(対象の範囲)+テスト条件、の組み合わせ。
先ほど挙げた家屋の防犯の例でいうと、ゴールを「対象の家屋に保管されている10万円を奪う」、スコープ(対象の範囲)を「対象の家屋の敷地全体」、テスト条件を「日中のみ」など、それぞれに設定したものです。防犯や犯罪心理などに詳しいスペシャリストが作成するこのシナリオ。シナリオ次第で費用は高くなり調査期間も長くなるというのです。もちろん、依頼者や調査対象によってシナリオは変わってきます。
セキュリティ診断(脆弱性診断)の、過去の犯罪の手口を総当たりしてチェックするのも相当ですが、シナリオの作成と実行も相当です!(語彙力)
まとめ
今回はペネトレでいう「システム」や、セキュリティ診断(脆弱性診断)との違いについて学んできました。システムはいくつかの要素が集まってできた仕組みのこと。ペネトレはシナリオを作成し、既知の脆弱性を用いて想定するシナリオを実行できるか、あらゆる手段を試して具体的な対策を提示すること。一方セキュリティ診断(脆弱性診断)はシステムに存在する脆弱性を網羅的に検出して、一般的な対策を提示することでした。
今回登場した用語
脆弱性 | コンピューターのOSやソフトウエアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと。セキュリティホールとも呼ばれる 出典: 総務省『国民のための情報セキュリティサイト』(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html) |
あなたのWebサイトも、脅威に対する「安心」を手に入れませんか?
ふぅ…書き終えた
ペネトレ、手ごわいな。この様子じゃ第3弾もあるな、きっと。
余談ですが今回これだけ「脆弱性」という単語が出てきたのに、紙に書こうとして「脆」が書けませんでした。何となく右側の「危」は覚えていたのに、部首が出てこない。やっと、ああそうだ「月」だ、と思い出したものの、あれ、でもこれは「にくづき」か「つきへん」か?となり・・・「にくづき」でした(調べた)。
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。