ペネトレーション・テストとは?攻撃ツールを模擬して設計されたペネトレーション・ツールも紹介

実際に攻撃することで何が起きるのかという点に着目する
ウィキペディアでペネトレーション・テストを検索すると、
「ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法のこと。侵入実験または侵入テストとも言われる。」
と記載されています。本来のpenetrationは、「浸透」、「弾丸の貫通」などを意味します。攻撃に対して防御が有効かどうかをチェックするためのテストを実機に対して行います。攻撃者と同じツール(Tool)、戦術(Tactics)、手順(Process)(TTP)を用いてテストを実施することで、本当の問題点を把握し、意味のある改善を促します。
・攻撃されていることを正確に検知できるのか?
・どのような情報が攻撃により取得できるのか?
・攻撃を受けた場合システム的にどのような挙動になるか?
・攻撃された場合に実際にどこまで侵入できるのか?
実際に攻撃することで何が起きるのかという点に着目して検査をするわけです。
脆弱性検査の手法には他に「ファジング」と呼ばれる方法があります。ファジングでは、脆弱性を発現させやすいデータやファイルを検査対象に送り込みその反応を見て脆弱性の有無を検査します。実際に攻撃を行うわけではなく「ペネトレーション・テスト」とは方法が異なります。
実際の攻撃はソーシャル・エンジニアリングから始まる
・外部ペネトレーション・テスト
- 攻撃者が外部から侵入してくることを想定したテストです。
・内部ペネトレーション・テスト
- 攻撃者が内部にすでに侵入していることを前提にしたテストです。
・ブラックボックステスト
- 攻撃者と同条件、すなわちシステムの情報を検査者に何も教えずに実施する方法です。
・ホワイトボックステスト
- 設計書、仕様書、コンフィグファイル、ソースコードなどを事前に開示し分析して、脆弱性を洗い出す方法です。
インターネット経由での外部ペネトレーションをブラックボックステストで実施する。内部犯行を前提にホワイトボックステストを内部ペネトレーションテストで実施する。といった具合に、あらかじめ想定条件を設定して検査を実施していきます。
攻撃者が利用するツールを模擬するペネトレーション・ツールを活用する
Nmap Security Scanner
https://nmap.org/
Nessus vulnerability scanner
https://www.tenable.com/products/nessus-vulnerability-scanner
Metasploit
https://www.metasploit.com/
OpenVAS
http://www.openvas.org
WEBページの診断には、以下に紹介するようなペネトレーション(フォレンジック)ツールがあります。ネットワーク全般を網羅する形のツールよりも、より特定のサービスに限定した検査が実施できます。
Nikto web server scanner
https://cirt.net/Nikto2
The OWASP Zed Attack Proxy (ZAP)
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
これらのWEB特化型のツールでは、クロスサイトスクリプティングやSQLインジェクションなどWEBサービス固有の脆弱性の検査も行えます。
WPScan (WordPress vulnerability scanner)
https://wpscan.org
WordPressへのセキュリティ診断専用のプログラムもあります。
これらのツールを利用した診断を実施する場合、ツールが出力する脆弱性レポートを見るだけではなく、検査対象のシステムでの検知ログなどを精査して、検査時の攻撃に対応するログを精査し、攻撃が検知できているかを確認することも重要です。
セキュリティにおいても継続的な改善が重要
そして得られた最新のセキュリティ関連情報をもとに、逐次脆弱性対策を実施できる環境を整備しておくことも大切なポイントです。WEBサービスに特化すれば、アクセリアにはセキュリティを考慮した上で事業継続する(WEBのサービスを提供する)技術があると自負しています。
■関連ページ
【アクセリアのサービス一覧】
・サービスNAVI
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service