みなさんはペネトレーションテストをご存じでしょうか?脆弱性を検証するテストとして注目されている手法ですが、脆弱性診断とは何が違うのかよくわからないという方も少なくないでしょう。今回はペネトレーションテストについて解説するとともに、中小企業にとって有効なセキュリティ対策も紹介します。
今回のお悩み
言葉自体は聞いたことがあるけど、概要や有効性についてはよくわかっていない。今後どのようなセキュリティ対策をすればよいのかも含めて知りたい。
私が解説します!
ペネトレーションテストと脆弱性診断の違い、メリットなどを解説していきます。セキュリティについて体系的に理解したうえで効果的な対策を実現していきましょう。
目次
( 1 ) ペネトレーションテストとは?
ペネトレーションテストとは、パソコン、サーバなど、ネットワークに接続されているシステムに対して、脆弱性が存在するかどうかを検証するテストのことです。日本語では「侵入テスト」や「侵入実験」と呼ばれていますが、その名の通り実際にネットワークに接続してシステムにさまざまな攻撃を仕掛け、どこに脆弱性があるのかを見つけます。
ペネトレーションテストには簡単にできる無料ツールもありますが、一般的には専門技術を提供する第三者に依頼してテストを行います。
脆弱性診断との違い
ペネトレーションテストと脆弱性診断はどちらもセキュリティに関する診断ではありますが、目的と手法は大きく異なります。主な違いは以下の通りです。
ペネストレーションテスト | 脆弱性診断 | |
---|---|---|
目的 | サイバー攻撃への耐性がどの程度あるかを評価する | システムの欠陥や脆弱性を網羅的に洗い出す |
手法 | 想定されるサイバー攻撃のシナリオを作成し、目的とする攻撃が達成できるかを診断 | ガイドラインによる定型的な手法や、ツールなどを使用して網羅的に診断 |
報告内容 | 攻撃シナリオおよび検証結果(攻撃達成が可能な侵入経路など) | 診断で判明した脆弱性の一覧(すべてのリスク) |
( 2 ) ペネトレーションテストが有効な企業
ペネトレーションテストは、以下のような企業に有効です。
- 現状のシステム環境を第三者目線で評価してほしい
- 今後どのようなセキュリティ対策を行えばよいか知りたい
- インシデント(※1)を知ることで社内のセキュリティ意識を向上させたい
近年のサイバー攻撃は高度化・多様化しています。攻撃者視点を持った第三者評価を受けることによって、セキュリティ対策として足りないところや強化すべき点が見えてきます。
ペネトレーションテストの流れ
基本的な流れとしては「準備」→「テスト」→「レポート作成」の3段階で行われます。
① 準備
対象となるシステム環境のヒアリングを行い、診断のための攻撃シナリオを作成。
② テスト
攻撃シナリオに沿って、さまざまな手法で攻撃や侵入を実施し、結果を記録。
③ レポート作成
攻撃経路の詳細、脆弱性や不備の分析などの報告をまとめたレポートを作成。
※1 インシデント:事故などが発生するおそれのある事態のこと。IT分野ではマルウェア感染、不正アクセス、情報漏洩などを指す。( 3 ) ペネトレーションテストのメリットと注意点
ペネトレーションテストのメリットは、「想定されるリスク」をシナリオ化して実験を行うため、セキュリティホール(※2)をいち早く発見できることが挙げられます。ほかにも以下のようなメリットがあります。
- あくまでテストであるため安全に調査できる
- 調査対象のシステム環境に応じたテストができる
- 調査結果(報告書)をセキュリティ対策に役立てられる
ペネトレーションテストの注意点
ペネトレーションテストを行う際に、3つほど注意しておきたいことがあります。
まず調査対象の規模やテスト項目の多さによっては膨大なコストがかかってしまうことです。事前にテストにかかる費用や時間などを確認しておくとよいでしょう。
次に、テストは一度だけ行えばよいというものではなく、システム環境が変化したタイミングなどで再テストを行うことが必要です。
さらに、ペネトレーションテストには高度な専門性が求められるため、テスト実施者のスキルによって調査結果が異なる場合があることです。依頼する際には実施者の経験や実績などをもとに検討しましょう。
( 4 ) 最新のセキュリティ脅威と今後必要な対策
近年のサイバー攻撃は、脆弱性を見つけ出しては巧妙に侵入してきます。その傾向として、被害の多くは中小企業という報告もあります。セキュリティ対策が比較的甘いと思われる中小企業を標的にして、ランサムウェア(※3)やサプライチェーン攻撃(※4)などの攻撃が仕掛けられてくるのです。
「ウイルス対策ソフトは導入している」という企業は多いと思いますが、それだけで十分ということはありません。ペネトレーションテストを実施し、セキュリティ対策を見直す企業が増えていることがその裏付けといえるでしょう。
ネットワークセキュリティの課題に応えるUTM
自社のセキュリティ対策に不安がある、より強固なセキュリティ対策を講じたいという企業に、注目していただきたいのがUTMです。UTMは複数のネットワークセキュリティを集中管理するツールで、一台に多くのセキュリティ機能が搭載されており、多層的な対策に適しています。
例えば、サクサのUTM「SS7000Ⅲ」はウイルスのデータパターンを自動更新することで最新のネットワークウイルスに対応。不正アクセス、ウイルス侵入など、インターネットから来るさまざまな脅威から統合的に社内ネットワークを守ります。また外部からの攻撃を防ぐだけでなく、内部からの情報漏洩リスクも抑えることができます。
さらにウイルス感染時は無料でPCウイルス駆除サービスが受けられます。専任の情報システム担当者を置く余裕がない会社でも、UTMを導入することで複雑化するサイバー攻撃のリスクに対応が可能です。
※4 サプライチェーン攻撃:原料の調達、商品の製造、流通など、一連のつながり(サプライチェーン)を悪用した不正アクセス。
( 5 ) まとめ
ここまで、ペネトレーションテストとは何かを解説するとともに、近年のサイバー攻撃の傾向を踏まえて中小企業にとって効率的かつ有効なセキュリティ対策について見てきました。サクサでは記事で紹介したUTM「SS7000Ⅲ」をはじめ、UTMの基礎知識を解説する特設ページをオープンしています。UTMの機能や脅威となるサイバー攻撃について、動画で詳しくご紹介しています。ぜひ自社のセキュリティ対策の参考にしてください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。