お問い合わせ
ペネトレーションテストとは、既知の脆弱性を用いて、システムのセキュリティを評価するテストです。これにより、現状のセキュリティレベルを確認することができます。
この記事では、ペネトレーションテストの代表的なツール、メリットや用途を解説します。ペネトレーションテストを検討している場合、ぜひこの記事を参考にしてください。
\入力から送信まで3分で簡単に完了/
目次
ペネトレーションテスト(侵入テスト)とは
ペネトレーションテスト(ペンテスト、侵入テスト)は、ホワイトハッカー(良い意味でのハッカー)が、サイバー攻撃の手段を使ってシステムに侵入しようとするテストです。
ペネトレーションテストでは、実際にシステムに侵入を試みることで、脆弱性を悪用された場合の被害をより現実的に把握することができます。
具体的には、ポートスキャン攻撃、脆弱性攻撃、マルウェア感染などの攻撃手法を模擬します。システムに侵入したあとは、攻撃者の視点から模擬攻撃を行い、その結果に基づいてシステムの安全性を評価します。これにより、攻撃者の視点からシステムのセキュリティを評価し、より効果的なセキュリティ対策を実施することにつながります。
ただ、ペネトレーションテストはシステムが攻撃に耐えられるかどうか確認することを目的としたテストであり、脆弱性を網羅的に洗い出すことに特化したテストではないことには注意を払うべきでしょう。
無料ツールや自社テストにはいくつかの問題も
なお、無料のツールでも簡単なテストはできますが、これらのツールは脆弱性の有無を検出することはできても、攻撃者が実際に攻撃を仕掛けた場合の被害を評価することはできません。また、自社で実施するテストでは、攻撃者の視点に立って疑似攻撃を行うことが難しいため、脆弱性が悪用されることで生じるリスクを過小評価してしまう可能性があります。
また無料のツールや自社で実施するテストでは、攻撃手法の網羅性が不十分な場合があり、実際には存在する脆弱性を見逃してしまう可能性があります。そのため、正確な調査結果を得るには、ペンテスト専門のサイバーセキュリティ会社に依頼することをおすすめします。
ペネトレーションテスト(侵入テスト)の基本的なステップ
ペネトレーションテスト(侵入テスト)は、悪意のある攻撃者と同じ手法を用いて、システムのセキュリティを評価するテストです。
ペネトレーションテストには、以下の4つの基本的なステップがあります。
- 範囲と目的を定義する
- 脆弱性を特定する
- 侵入を試みる
- 報告書の作成
①範囲と目的を定義する
ペネトレーションテストの範囲と目的を明確に定義します。テストの範囲と目的を明確に定義することで、テストの効率性と信頼性を高めることができます。これによって、テスト対象システムの範囲、テストの目的、テストの対象とする攻撃手法などを定義します。
②脆弱性を特定する
次に対象システムに潜在する脆弱性を特定します。これは前述したような脆弱性スキャナーによる診断などの方法を用いて、脆弱性を特定します。
なお、脆弱性スキャナーは、対象システムの脆弱性データベースと照合することで、システムに存在する脆弱性を自動的に検出することができるツールです。
③侵入を試みる・リスク評価する
脆弱性を突いて、外部からシステムに侵入することができるかを試みたあと、攻撃者がどのようにシステムを操作できるかを調査します。具体的には、以下の内容を調査します。
- 侵入したユーザー権限
- 侵入したシステムの範囲
- 攻撃者が実行できる操作
その後、攻撃者がシステムに侵入した場合に、どのような被害が発生する可能性があるかを評価します。具体的には、以下の内容を評価します。
- 情報の漏えい
- システムの改ざん
- システムの停止
これらの調査結果を踏まえて、システムのセキュリティ対策の改善策を検討します。
④報告書の作成
調査と評価の結果に基づいて、報告書が作成されます。報告書では、検出された脆弱性、侵入に成功したかどうか、侵入した場合にどのような被害が発生する可能性があるかなどが記載されており、具体的には、以下のような対策事項を確認するのに有効です。
- 脆弱性の修正
- セキュリティ対策の強化
- 運用ルールの見直し
ペネトレーションテスト(侵入テスト)を行うメリット
ペネトレーションテスト(侵入テスト)を行うメリットは次のとおりです。
- システムやネットワークのセキュリティ上の脆弱性を洗い出せる
- セキュリティ対策の有効性を検証できる
セキュリティ上の脆弱性を洗い出せる
ペネトレーションテストは、実際に攻撃を仕掛けることで、システムやネットワークに存在する脆弱性を特定することができます。
脆弱性は、攻撃者がシステムに侵入するための足掛かりとなるため、早期に発見して対策を講じることが重要です。テストで見つかった問題を修正することで、攻撃者が悪用する脆弱性を排除し、システムの安全性を高めます。これにより、データ漏えいリスクやセキュリティ上の問題を減らすことができます。
セキュリティ対策の有効性を検証・評価できる
ペネトレーションテストでは、攻撃者が実際に行うであろう攻撃手法を想定してテストが行われます。そのため、既存のセキュリティ対策が十分に機能しているか、つまり既存のセキュリティ対策がどの程度有効であるかを評価することができます。
DDFのペネトレーションテスト(侵入テスト)
ペネトレーションテストの実施には、セキュリティやシステムに関する豊富な知識と経験が必要です。
DDFでは、OSCP資格保持者が在籍しており、高い専門性と豊富な知識、経験を積んだホワイトハッカーによるペネトレーションテストが実施可能です。お客様のご相談内容に合わせて、想定される脅威から対象システムへの攻撃シナリオを設定し、疑似的なサイバー攻撃を行うことでセキュリティ上の脆弱性や問題点を評価します。
OSCPとは、Offensive Security Certified Professional の略で Offensive Security社が開発・運営するペネトレーションテストの認定試験です。資格取得により、攻撃対象への侵入や特権昇格の技術力を証明することができます。国際的に難関資格とされており、海外ではペネトレーションテストを実施するための必須要件です。
想定するシナリオ
ペネトレーションテストではシステムやネットワーク環境に合わせて様々なシナリオを設定します。設定したシナリオで実際に侵入を試みることで、システムの脆弱性や問題点を評価するのです。想定するシナリオの例は以下を参考にしてください。
- サイバー攻撃で悪用されやすいVPNの脆弱性をついた攻撃を試みる
- インターネット経由でWebサーバへ侵⼊を試みる
- パスワードクラックを試みる
- Webサーバへ侵入できたことを想定し、機密情報の窃取を試みる
- 社内システムへ侵入できたことを想定し、ファイルサーバへ不正アクセスを試みる
テスト実施の流れ
ペネトレーションテストの基本的な流れは以下のステップで行われます
- ポートスキャン
サーバの各ポートへデータを送信し、その応答状況を調べる方法です。各ポートの状況を把握し、そのサーバでどんな機能(サービス)が提供されているかなどを把握します。 - 脆弱性診断
対象のシステムやサーバの脆弱性を洗い出します。(網羅的ではない) - 疑似攻撃の実施
想定シナリオを決定し、ホワイトハッカーによる疑似攻撃を実施します。 - レポーティング
疑似攻撃実施後、テストの結果に基づいた報告書を作成します。テストで発見された脆弱性や問題点の詳細、今後の対策などを記載します。
ご報告
テスト実施後、結果と今後推奨する対応をまとめた報告書をご納品します。ご報告内容は以下を参考にしてください。
ご報告内容
- エグゼクティブサマリ
- テスト結果の詳細(スクリーンショット付きで説明)
- 対応すべき事項
- 推奨対応事項
ペネトレーションテスト(侵入テスト)は専門業者へ依頼する
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
