SHIFT SECURITYグループは、グループ会社であるクラフ、MAS Lab(マスラボ)とともに総合的なセキュリティサービスを展開しています。
今回ご紹介するのは、近年注目されているペネトレーションテスト。脆弱性診断との違いや、私たちが提供しているペネトレーションテストの特徴をお伝えします。
システムやプロセスに存在する脆弱性は、情報資産の機密性、完全性、可能性を損なう可能性があることから、定期的な検査を通じて現状を把握し改善に繋げる必要があります。
脆弱性診断は、セキュリティに影響を及ぼす設計上の問題や構成ミス、プログラム上のバグなどを一定の基準に基づき網羅的に診断するサービスです。
システムは常に更新されるため、機能追加や改修、使用するソフトウェアのバージョンアップなどのタイミングで継続的に診断をすることが望ましいとされています。
一方、ペネトレーションテストは、セキュリティホールや設定上・運営上の不備などを悪用し、ホワイトハッカーが疑似的にサイバー攻撃を行うことで組織や対象となるシステムにおける具体的な問題点を検証。攻撃の成立可能性を評価し、どのような問題点があるか、実際に想定される被害は何かを可視化するサービスです。
脆弱性診断のように脆弱性を網羅的に検査するものではなく、攻撃のシナリオを再現するのがペネトレーションテストです。
サイバー攻撃を疑似的に行うことで、想定される被害を可視化するサービスがペネトレーションテストです。
想定される被害を可視化することで、対策の優先順位や対策にかかるコストを可視化することができます。
お客様がリスクとして懸念されている機微情報の保持やマルウェア感染時の対応など、「守りたいもの」に合わせて柔軟にテストシナリオを作成しています。
一方、セキュリティ対策としてはじめからペネトレーションテストの実施をすることはコストの面からも推奨していません。
ペネトレーションテストでは侵入経路の脆弱性は報告しますが、それ以外の網羅的な脆弱性については調査・報告を行いません。
私たちが提供しているペネトレーションテストでは、侵入経路以外でも期間内に見つけた脆弱性についてはお客様に報告をしていますが、それでも網羅的な診断とは異なります。脆弱性診断でまずは現状を把握し、脆弱性への対策をした上で、ペネトレーションテストで具体的な被害想定の可視化をすることが効果的です。
お客様個別にシナリオを作成するため、見つかった脆弱性に限定せず、想定される様々な方法でリスクを洗い出します。対象となる環境やシステムごとに起こり得るリスクを可視化したい場合に適しています。
<関連記事>
MAS Lab ペネトレーションテスト
https://www.maslab.jp/penetration/
先述したお客様個別の柔軟なシナリオベースのテストとは異なりますが、プラットフォーム診断やWebアプリケーション診断の結果をもとに、NIST SP800-115(※)の定義に則った攻撃シナリオを作成します。
(※)NIST SP800-115は、アメリカ合衆国の国立標準技術研究所が提供しているものです。ネットワーク探索やポートスキャン、脆弱性スキャン、パスワードクラックなどペネトレーションテストを行う場合の項目を定義しています。
検出された脆弱性に対しての攻撃シナリオを想定、施行していくため、その他の設定上・運営上の不備などについては検証範囲に含まれていません。コストを抑え、見つかった脆弱性に対してピンポイントでリスクを洗い出す目的の場合に適しています。
<関連記事>
SHIFTSECURITY ペネトレーションテスト
https://www.shiftsecurity.jp/penetration-test/
ペネトレーションテストは、IPA(独立行政法人 情報処理推進機構)が発表している情報セキュリティ10大脅威のうち、複数の脅威への対策として推奨できる効果的なセキュリティサービスです。
SHIFT SECURITYグループでは、グループ内で連携し、各社の強みも活かしながら総合的なセキュリティサービスを展開しています。ペネトレーションテストもその1つです。
セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご連絡ください。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
