社内のセキュリティを強化するために、脆弱性診断を実施する企業が増えています。加えてペネトレ―ションテストに関するお問い合わせもいただく機会が増えてきました。ペネトレーションテストまで実施するべきかの検討にあたって、ペネトレーションテストと脆弱性診断の違いを正確に理解することが重要です。本記事では、最初にペネトレーションテストと脆弱性診断についてそれぞれ紹介した後に、それぞれのメリット・デメリットについて解説します。
情報セキュリティ対策の必要性
そもそもの話ですが、ペネトレーションテストや脆弱性診断はなぜ行う必要があるのでしょうか。
情報セキュリティ対策を実施することは、事業継続に欠かせない作業として認識されています。これらの作業を怠ると、セキュリティインシデントが発生する可能性があり、大きな損失を被る可能性があるためです。
不正アクセスによって個人情報が流出した、といったニュースを耳にする機会も増え、いつ自社がこのような事故にあっても不思議ではありません。ペネトレーションテストや脆弱性診断を実施することで、インシデントの可能性を低減することができます。企業にとって情報セキュリティ対策は必須と言えるでしょう。
ペネトレーションテストとは?
「ペネトレーションテスト」という言葉に、聞き馴染みがない方もいらっしゃるかもしれません。また、言葉は知っているけれど、脆弱性診断とは何が違うのかわからない、という方も意外と多いのではないでしょうか。そこでまずは、ペネトレーションテストの基本について解説します。
攻撃者側の視点から行うテスト
ペネトレーションテストとは「侵入テスト」とも呼ばれ、具体的な攻撃目標を設定し、セキュリティ上の検証を行います。近年は外部からの攻撃手段も多様化しているため、企業はあらゆる防衛手段を考慮する必要があります。そこでペネトレーションテストによる実践形式のテストを行い、セキュリティの課題を洗い出す方法に注目が集まっています。
サイバー攻撃耐性がどの程度なのか確認するテスト
ペネトレーションテストでは、サイバー攻撃耐性が具体的にどの程度なのか測ることが可能です。ホワイトハッカーによって実際に「模擬ハッキング」と呼ばれる攻撃が行われるため、具体的な防衛レベルを測定できます。実際にどのような経路からの攻撃で、どのような被害に遭う可能性があるかといった具体的なシュミレーションを行うことができる点が、ペネトレーションテストの特徴です。
ペネトレーションテストの方法について
では、ペネトレーションテストはどのように実施するものでしょうか。
ペネトレーションテストは、テストの目的に応じて、考えられる攻撃シナリオを複数想定してテストします。
たとえば、仮想デスクトップ基盤や Active Directory などに対して単に侵入の可否をテストするのではなく、侵入をきっかけとして、さらにクライアントやサーバの権限昇格、認証情報の取得、内部への侵攻、データ持出し、といったように、ある目的を達成するための複数の攻撃シナリオを構成しテストします。
なお、ペネトレーションテストには人間の心理を突いた「メンタル攻撃」や「フィジカル攻撃」も含まれます。
たとえば会社のエントランスにマルウェアを仕込んだUSBメモリを放置しておくとか、役員に成りすましてオンラインサービスのパスワードを担当者に電話で聞き出すとか、廊下のコピー機に繋がるLANケーブルに無線LANアダプタを繋いで社内LANに侵入する等の攻撃があります。
実際に何処までその様な方法を使って調査するのかは、当初の目的に合わせて、ベンダーと顧客との間で調整の上、実施します。
脆弱性診断とは?
ペネトレーションテストとの違いを知るには、脆弱性診断についても理解を深める必要があります。以下では、脆弱性診断の基本について解説します。
脆弱性を発見するためのテスト
脆弱性診断とは、その名のとおり脆弱性を発見するためのテストのことです。自社のシステムにおける脆弱性を発見し、セキュリティ問題やサイバー攻撃の可能性を未然に防ぐことが目的となります。Webアプリケーション、OS、ネットワークなどを対象に実施し、脆弱性の有無と危険性を確認します。
脆弱性の特定、ランク付け、報告が主な目的
脆弱性診断は、脆弱性の有無を確認し、問題箇所を洗い出し、脆弱性レベルをランク付けして報告するものです。脆弱性を発見して終了ではなく、その危険性をランク付けし、報告を行います。報告内容に合わせてシステムを改修し、脆弱性への対処を実施するのが基本的な流れです。
危険性のランクが高いほど早急な対策が求められるため、脆弱性診断の際には対策方法も含めて報告してくれるセキュリティサービスを選ぶようにしましょう。
脆弱性診断の方法について
続いて脆弱性診断の主な方法について解説します。脆弱性診断には、ツール診断と手動診断の2つがあります。
ツールを使った診断方法
脆弱性診断には、自動検知ツールを活用して、脆弱性を確認するツール診断という方法があります。短時間で比較的低コストで実施できる点から、利用しやすいというメリットがあります。一方でツール診断には誤検出や検知漏れの可能性があり、正確に脆弱性の有無やリスクを測れない可能性があります。また、脆弱性についての知識がないと、ツールによって得た診断結果を適切に判断し、対応することが難しい場合があり、ツールで出力した結果レポートを有効活用できない可能性があります。
手動によるマニュアル診断の方法
脆弱性診断では、セキュリティの専門家によって、手動で細かく調整しながら診断する方法もあります。ツールを使いつつ、人の手を介して診断が実施されるため、細かな部分にまで目が行き届いたチェックが可能です。検査漏れが起こりづらいこと、結果レポートに具体的なセキュリティ対策の方法が盛り込まれていること、などが手動診断のメリットです。
ペネトレーションテストのメリットとデメリットを解説
ここまでペネトレーションテストと脆弱性診断について紹介してきました。
続いてそれぞれのメリット・デメリットを解説します。
ペネトレーションテストのメリット
ペネトレーションテストを実施する具体的なメリットを、以下で解説します。
対象に合わせて攻撃シナリオを柔軟に設定できる
ペネトレーションテストでは対象に合わせて攻撃シナリオを設定するため、環境に合わせたテストが可能です。一般的な脆弱性診断では対応しがたい非常に機密度の高い、あるいは、特殊環境に対するセキュリティチェックとして検討することができます。実際に侵入できるかの確認を実施するため、どのような前提でどのような攻撃を実施することで何が行えたのか、具体的なストーリーでアウトプットを得られます。
ペネトレーションテストのデメリット
ペネトレーションテストにはメリットだけでなく、デメリットもあります。以下では、ペネトレーションテストの実施時におけるデメリットを解説します。
診断する人のスキルによって判断が異なる
ペネトレーションテストでは、ホワイトハッカーによる攻撃でテストが行われます。そのためテストする人のスキルによって、判断結果が異なる可能性があります。スキルが高いハッカーの場合は侵入に成功したが、スキルが低いハッカーの場合は侵入できなかったというようにアウトプットが異なる可能性があります。
技術力に信頼をおけるサービス提供ベンダーを探す必要がある点は、ペネトレーションテストのデメリットです。
コストが高くなる可能性がある
ペネトレーションテストは一般的に高額で、1,000万円以上かかるようなケースも珍しくありません。テストの期間中、長期間にわたってシステム利用が制限され、事業への支障が懸念される場合もあります。ペネトレーションテストが事業に影響する可能性があれば、ステージング環境と呼ばれる本番システムと全く同じ環境を用意してテストを行うことになりますが、そこにもコストがかかります。
脆弱性診断のメリットとデメリットを解説
一方、脆弱性診断のメリット・デメリットにはどのようなことがあるでしょうか。
脆弱性診断のメリット
脆弱性診断にはペネトレーションテストにはないメリットがいくつかあります。以下では、脆弱性診断の主なメリットについて解説します。
開発者のセキュリティレベルが向上する
脆弱性診断によって、自社の開発者のセキュリティレベルが向上する点は1つのメリットです。脆弱性診断で得られる報告書の内容には、脆弱性の危険度、再現方法、具体的な対策などが盛り込まれています。そのため脆弱性診断を参考にすることで、自社の開発者がスキルを身につけるきっかけをつくれます。開発者のセキュリティレベルが向上すれば、よりセキュアなシステム開発が可能になります。
セキュリティインシデントの予防ができる
脆弱性診断では、弱点となり得る脆弱性の有無を網羅的に検査することで、取り組むべき対策が可視化されます。洗い出された脆弱性に対する対策を実施し、セキュリティを向上させることで、不正アクセスのリスクを低減することができます。情報漏洩発生の可能性を低減することが可能となるため、事業をスムーズに進めるための環境整備にもつながるでしょう。
定期的に診断可能
ペネトレーションテストと比べて導入ハードルが低く、定期的に実施検討できます。機能追加などアップデートに合わせて定期的に診断を実施することで、脆弱性の発見率が高まり、より安全なセキュリティ環境を維持できます。
脆弱性診断のデメリット
脆弱性診断にも、メリットだけでなくデメリットがあります。脆弱性診断の実施時における具体的なデメリットについて、以下で解説します。
定型的な方法になるため柔軟な対応が難しい
脆弱性診断では、一般的に診断項目があらかじめ決まっており、ガイドラインなどに即し網羅的に確認することが可能です。ただし、Web、プラットフォーム、アプリなどの対象ごとに実施するため、環境全体に対する攻撃は試みません。一般的な脆弱性の有無を確認することは可能ですが、スキルの高いハッカーによる攻撃が成功するか、情報を抜き取ることができるか、といった観点でのチェックには不向きと言えます。
ペネトレーションテストと脆弱性診断ではどちらがおすすめ?
サイバー攻撃による被害が、事業継続に直接影響する場合は、コストが高くなるとしてもペネトレーションテストを検討するのがよいでしょう。単純に予算が厳しいからといって、脆弱性診断を選択するといったことがないようにしてください。
予算が厳しい場合は、初回のシステム構築時にはペネトレーションテストを実施し、初回以降のシステム改変等の際には脆弱性診断を実施し、リニューアル等大幅に改変がある場合は再度ペネトレーションテストを実施するといった方法もあります。やむを得ず、脆弱性診断しか選べない場合は、それによって残留するリスクや被害を認識して、経営層も交えて承認してから実施するようにしてください。
一方、脆弱性診断は、事業内容に関わらず必須の対策として実施検討いただくことを推奨します。脆弱性を確認するなら、「Proactive Defense(プロアクティブ ディフェンス)」が提供する手動診断の利用がおすすめです。手動診断は脆弱性のチェック方法のなかでも、コスト面・内容ともにバランスが優れている手法です。ツール診断には誤検出や検知漏れなどのデメリットがあり、診断結果の活用が難しい点が課題です。
ペネトレーションテストは、大規模かつ高コストの診断方法となるため、実施するまでに多くのハードルがある可能性が高いです。その点、手動診断であれば、比較的手の届くコストで充実した診断が可能です。この機会に「Proactive Defense」の手動診断のメリットを、ぜひホームページや資料請求からご確認ください。
まとめ
ペネトレーションテストと脆弱性診断には、さまざまな違いがあります。それぞれの特徴・メリット・デメリットを把握したうえで、自社に最適なセキュリティ対策を選択することが、セキュリティの課題を解決するための第一歩となるでしょう。ペネトレーションテストと脆弱性診断のどちらを活用するか迷ったときには、ぜひ「Proactive Defense」にご相談ください。