お問い合わせ
- 「社内のネットワークに侵入される可能性がないか、現状を把握したい。」
- 「現在のセキュリティ対策で問題ないのか?社内ネットワークの脆弱性を確認したい。」
- 「サイバー攻撃を受けた。業務再開のために出来ることは全てしたい。」
- 「以前ランサムウェアに感染したことがあり、復旧後のセキュリティに問題がないか第三者機関で確認したい。」
このような場合に取り入れたいのが「ペネトレーションテスト」です。ペネトレーションテストはサイバー攻撃者の攻撃を想定したホワイトハッカーによる疑似攻撃を行うことで、現状のセキュリティレベルを確認することができます。
この記事では、ペネトレーションテストの特徴や脆弱性診断との違い、テスト実施の流れなどを解説します。
\入力から送信まで3分で簡単に完了/
目次
ペネトレーションテスト(侵入テスト)とは
ペネトレーションテストは、システム全体のサイバー攻撃に対する耐性を確認するために行われます。実際に攻撃者が使うようなサイバー攻撃(たとえば脆弱性攻撃、ソーシャルエンジニアリング、マルウェア攻撃など)を通じて、システムに侵入された場合の現実的な被害を把握し、そのうえでシステムの脆弱性や不足点を洗い出し、改善策を導き出します。
ただ、ペネトレーションテストは脆弱性を網羅的に洗い出すのが目的ではなく、あくまでシステムの防御機能を、実際の攻撃手法に基づき確認するものということに注意しましょう。
脆弱性診断(セキュリティ診断)との違い
ペネトレーションテストと脆弱性診断では行う目的が次のように異なります。
| ペネトレーションテスト | 脆弱性診断 | |
| 目的 | 攻撃者目線の疑似攻撃でシステムの安全性を評価し、侵入時の被害を確認・検証・評価すること | 脆弱性の網羅的な特定、ランク付け、および報告を行うこと |
| 調査対象 | 攻撃者の目的を達成できるかを検証するため、想定するシチュエーションによって異なる | システム全体に対して実施 |
| 手法 | ホワイトハッカーによる疑似攻撃を行う | 脆弱性スキャン、その他自動ツールを用いた自動診断および手動診断 |
ペネトレーションテストは、サイバー攻撃を模擬的に行い、システムに侵入されたときの被害について評価・検証するテストです。一方で脆弱性診断は、既知の脆弱性を網羅的に検証します。これが大きな違いです。
ペネトレーションテスト(侵入テスト)の代表的なツール
ペネトレーションテスト(侵入テスト)の代表的なツールは次のとおりです。
- Nmap:ポートスキャンツール
- Metasploit:脆弱性エクスプロイト、攻撃ツール
- Wireshark:ネットワークトラフィック解析
- Burp Suite:Webアプリケーションセキュリティテスト
- John the Ripper:パスワードクラック
- Aircrack-ng:Wi-Fiネットワークセキュリティテスト
なお企業は無料ツールを使用して自社内で簡易テストを行うこともできますが、最新の脅威に対して強固なセキュリティ体制を構築する場合、専門家に依頼することが推奨されます。
各ツールの詳細は下記の記事でも詳しく解説しています。
Nmap:ポートスキャンツール
Nmapは、ポートスキャンツールです。ネットワーク上のデバイスを調査し、「どのポートが開いているのか」を調査します。ポートが開いているということは、そのポートで何かのサービスが実行されていることを意味します。
Nmapは、ポートスキャンのほかにも、以下の機能を提供します。
- ホスト検出:ネットワークに接続されているホストのIPアドレス、MACアドレス、ホスト名を特定します。
- サービス識別:各ホストのオープンポートで実行されているサービスを特定します。
- OS識別:各ホストのOSを特定します。
- 脆弱性スキャン:各ホストの脆弱性を特定します。
Nmapは、ネットワークのセキュリティを評価するために不可欠なツールです。ペネトレーションテスト、脆弱性管理、セキュリティ監査など、さまざまな用途に使用されています。
Metasploit:脆弱性エクスプロイトツール
Metasploitは、脆弱性を悪用してシステムに侵入するためのツールであり、ペネトレーションテスト用プラットフォームです。おもに脆弱性エクスプロイト(脆弱性を悪用して侵入するコード)、マルウェア、ボットネット、その他の攻撃ツールを多数搭載しています。
特にMetasploitには、既知の脆弱性に対する脆弱性エクスプロイトが多数搭載されており、最新の脆弱性に対する脆弱性エクスプロイトも定期的に追加されます。
Wireshark:ネットワークトラフィック解析ツール
Wiresharkはパケット監視ツールです。パケット監視ツールとは、ネットワーク上でやり取りされるパケットをキャプチャして解析するためのツールです。
Wiresharkは、パケット監視ツールとして、以下の機能を提供します。
- パケットのキャプチャ:ネットワーク上でやり取りされるパケットをキャプチャします。
- パケットの解析:キャプチャしたパケットを解析します。
- パケットのフィルタリング:キャプチャするパケットをフィルタリングします。
- パケットの保存:キャプチャしたパケットを保存します。
Wiresharkは、これら機能を組み合わせることでネットワーク上でやり取りされるデータを可視化することができます。これにより攻撃の兆候や脆弱性を特定することができます。
Burp Suite:Webアプリケーションセキュリティテスト
Burp Suiteは、Webアプリケーションの侵入テストに使われるツールです。このツールはWindows、MacOSやLinuxで利用でき、さまざまな環境で使用できます。
John the Ripper:パスワードクラック
John the Ripperは、パスワードクラックを行うためのツールです。辞書攻撃、ブルートフォース攻撃、マスク攻撃などさまざまな攻撃方法をサポートしており、侵入テストにおいては、以下の目的で使用されます。
- 脆弱なパスワードを特定する
- パスワードの強度を評価する
これらの攻撃方法を使用して、パスワードを効率的に解読することができます。
Aircrack-ng:Wi-Fiネットワークセキュリティテスト
Aircrack-ngは、Wi-Fiネットワークのセキュリティを包括的にテストすることができるツールであり、たとえばWi-Fiネットワークが暗号化されているかどうかを検出することができます。
ただし、Aircrack-ngをはじめツールを使いこなすにはスキルが必要です。自力で対応できない、あるいは網羅的な調査を行いたい場合、専門家に依頼することをおすすめします。
無料ツール、あるいは専門業者でペネトレーションテスト(侵入テスト)を行う違い
無料ツールでは主にポートスキャンや脆弱性スキャンなどの基本的なテストが行え、脆弱性の存在を報告する程度にとどまります。これらは特定のセキュリティリスクを検知するのに有用ですが、限界があります。無料ツールでは、一般的な脆弱性や攻撃手法のみを検出できる場合が多い一方、最新の攻撃や、高度な攻撃には対応できない可能性があります。
一方、専門業者によるペネトレーションテストは、最新の攻撃手法や、高度な攻撃にも対応したテストを行うことができるだけでなく、想定される様々な攻撃シナリオを用意することで、システム全体の耐性を総合評価し、現実で起こりうる被害の正確な評価が可能です。
まとめると、専門家に依頼することで、以下のメリットがあります。
- 短時間で効果的な調査を行うことができる
- 専門的な知識とスキルに基づいた調査を行うことができる
- 調査結果の解釈や対策のアドバイスを受けることができる
\入力から送信まで3分で簡単に完了/
ペネトレーションテスト(侵入テスト)の例
ペネトレーションテスト(侵入テスト)の例は次の通りです。
- 脆弱性評価
- ソーシャルエンジニアリング
- ワイヤレスネットワーク侵入テスト
- Webアプリケーション侵入テスト
- パスワードクラッキング
これらのテストは、対象となるシステムや目的によって、組み合わせて実施されます。例えば、社内LANのセキュリティを評価する場合には、脆弱性評価、ワイヤレスネットワーク侵入テスト、Webアプリケーション侵入テストを組み合わせて実施することが一般的です。
また、情報漏えいなどの被害を未然に防ぐためにも、定期的にペネトレーションテストを実施することが重要です。
脆弱性評価
これはシステムのソフトウェアやハードウェアに存在する脆弱性を特定するテストです。ポートスキャンや脆弱性スキャンなどのツールを使用して、システムの脆弱性を自動的に検出します。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは人間の心理や行動を悪用して、情報を取得したり、システムに侵入したりする攻撃手法です。ペネトレーションテストでは、フィッシング攻撃など、ソーシャルエンジニアリング攻撃を想定して、社員に対するテストを実施します。
ワイヤレスネットワーク侵入テスト
ワイヤレスネットワーク侵入テストとは、無線LANのセキュリティを評価するテストです。ワイヤレスLANの脆弱性を利用し、無線LANでシステムに侵入するテストを実施します。
Webアプリケーション侵入テスト
Webアプリケーション侵入テストとは、Webアプリケーションのセキュリティを評価するテストです。Webアプリケーションの脆弱性を悪用して、Webアプリケーションに侵入するテストを実施します。
パスワードクラッキング
パスワードクラッキングとは、パスワードを解読する攻撃手法です。ペネトレーションテストでは、パスワードクラッキング攻撃を想定して、パスワードの強度を評価するテストを実施します。
ペネトレーションテスト(侵入テスト)でわかること
ペネトレーションテストは実際の攻撃を模倣することで、脆弱性やセキュリティ上の不備を明らかにし、それに対する改善策を提供します。
ペネトレーションテスト(侵入テスト)でわかることは主に次のとおりです。
- 社内LANの脆弱性
- Webサーバの脆弱性
- システム侵入後の掌握範囲
- 攻撃シナリオの確認・実際の被害の評価
- セキュリティポリシーの有効性の評価
- セキュリティ対策の優先順位付け
社内LANの脆弱性
社内LANの脆弱性には、以下のようなものが挙げられます。
- ネットワークの構成上の問題
- ネットワーク機器の脆弱性
- ネットワークセキュリティポリシーの不備
ネットワークの構成上の問題
ネットワークの構成上の問題としては、以下のようなものが挙げられます。
- ネットワークの境界が明確になっていない
- 無線LANのセキュリティが不十分
- ファイアウォールの設定が不十分
これらの問題が生じると、攻撃者が社内LANに侵入するための足掛かりとなり得ます。
ネットワーク機器の脆弱性
ネットワーク機器の脆弱性としては、以下のようなものが挙げられます。
- ソフトウェアの脆弱性
- ハードウェアの脆弱性
ネットワーク機器の脆弱性は、メーカーのセキュリティ情報や脆弱性情報データベースなどで公開されます。これらの情報を定期的に確認することで、ネットワーク機器の脆弱性を把握することができます。
ネットワークセキュリティポリシーの不備
ネットワークセキュリティポリシーの不備としては、以下のようなものが挙げられます。
- パスワードポリシーが不十分
- アクセス権限の管理が不十分
- インシデント対応体制が不十分
これらの不備は、攻撃者による侵入や被害を拡大させる原因となります。
Webサーバの脆弱性
Webサーバの脆弱性には、以下のようなものが挙げられます。
- ソフトウェアの脆弱性
- 設定ミス
- 運用上の不備
ペネトレーションテストでは、これらの脆弱性を特定することで、Webサーバのセキュリティレベルを評価することができます。
システム侵入後の掌握範囲
システムに侵入された場合、攻撃者は以下の範囲を掌握できる可能性があります。
- システムの内部情報
- システムの操作権限
- システムの外部ネットワークへのアクセス権限
ペネトレーションテストでは、これらの掌握範囲を調査することで、システム侵入後の被害を想定することができます。
攻撃シナリオの確認・実際の被害の評価
ペネトレーションテストは、攻撃者が使用する手法やツールをもとに攻撃シナリオを作成し、システムに侵入を試みます。これによりシステムに侵入した場合の具体的被害、潜在的な影響を評価するのにつながり、どのような攻撃で侵入が成功するかを検証できます。
セキュリティポリシーの有効性の評価
ペネトレーションテストは、組織のセキュリティポリシーが実際の攻撃に対してどれだけ有効かを評価します。ポリシーが守られているかどうかを検証します。
セキュリティ対策の優先順位付け
特定された脆弱性やリスクに対して、修復や強化が最も必要なものを優先的に特定します。これにより、割くべきリソースを最適に配分できます。
ペネトレーションテスト(侵入テスト)のメリット
ペネトレーションテスト(侵入テスト)のメリットは次のとおりです。
- システムの環境に合わせたテストが実施できる
- 攻撃者視点でシステムに侵入可能か安全に調査可能
- 現状のセキュリティの抜け穴を把握し、対策ができる
システムの環境に合わせたテストが実施できる
ペネトレーションテストでは、対象システムのネットワーク構成や稼働中のサービスを把握した上で、攻撃者が実際に行いそうな手法や攻撃シナリオを想定してテストが行われます。そのため、システムの環境に合わせたテストを実施することができます。
攻撃者視点でシステムに侵入可能か安全に調査可能
ペネトレーションテストでは、攻撃者の視点に立って、脆弱性を悪用してシステムに侵入する試みが実際に行われます。そのため、システムに実際に攻撃が行われた場合、どのような被害が発生する可能性があるのかを把握することができます。
現状のセキュリティの抜け穴を把握し、対策ができる
ペネトレーションテストの結果として、システムに存在する脆弱性がわかります。これらの脆弱性を早急に対策することで、システムのセキュリティを強化することができます。
ただ、ペネトレーションテストの結果は実施者のスキルにより、検証される脆弱性や対策方法が異なる可能性があります。実施する際は、ペネトレーションテストの実績や経験が豊富な専門家に依頼するようにしましょう。
\相談件数32,377件以上 24時間365日受付/
ペネトレーションテスト(侵入テスト)の種類
ペネトレーションテストの種類は、セキュリティの境界線に基づく外部からのテストと、内部からのテストの2種類あります。
外部ペネトレーションテスト
外部ペネトレーションテストとは、外部からアクセス可能なシステム・機器に対して行うペネトレーションテストを指します。これは、攻撃者が外部から侵入することを想定したテストです。
侵入経路として悪用される恐れのある脆弱性や問題点を検証します。
内部ペネトレーションテスト
内部ペネトレーションテストとは、外部からはアクセスできないシステム・機器に対して行うペネトレーションテストを指します。これは、攻撃者がすでに内部へ侵入していることを想定したテストです。
外部からの攻撃でシステムへの侵入を許してしまった場合の被害範囲や機密情報を取得される範囲を検証します。
ペネトレーションテスト(侵入テスト)の手法
ペネトレーションテストには「ホワイトボックステスト」「ブラックボックステスト」の2つの手法があります。
ホワイトボックステスト
ホワイトボックステストとは、ソフトウェアの内部構造を理解した上で、すべてのプログラムが意図した通りに動作しているかを確認するためのテスト手法です。
「構造テスト」とも呼ばれ、内部構造を網羅的にテストします。バグと呼ばれるプログラム上の記載ミスや、エラーがないかなどの検証が可能です。
ブラックボックステスト
ブラックボックステストとは、対象のシステムの内部構造を考慮せずに、ソフトウェアが仕様通り設計されているか検証するテスト手法です。ブラックボックステストはシステムの内部がどのような構造になっているか理解していなくても行えるため、ユーザーと同じようにシステムを利用する立場に立った検証が可能です。
ホワイトボックステスト、ブラックボックステストのメリット・デメリット
ホワイトボックステスト、ブラックボックステストのメリット・デメリットは以下を参考にしてください。
| ホワイトボックステスト | ブラックボックステスト | |
| メリット | 開発者が気が付けなかったレベルの不具合の抽出がしやすい。
さまざまなデータの範囲を指定してテストが可能。 |
開発に関わっていない第三者でも実行可能である。
ユーザー視点で検証が可能なため、仕様を満たしているか、使いやすいかも検証できる。 |
| デメリット | 設計書を「正」とするため、設計書に記載されている内容が根本的に誤っている場合は、誤りに気がつくことが困難。
システムの内部構造を意識したテストのため、ユーザビリティを考慮できているかは判断しにくい。 |
入出力のみを確認するため、表面的には正常な動作をしているようにみえても、潜在的なバグを発見できないことがある。 |
DDFのペネトレーションテスト(侵入テスト)
ペネトレーションテストの実施には、セキュリティやシステムに関する豊富な知識と経験が必要です。
DDFでは、OSCP資格保持者が在籍しており、高い専門性と豊富な知識、経験を積んだホワイトハッカーによるペネトレーションテストが実施可能です。お客様のご相談内容に合わせて、想定される脅威から対象システムへの攻撃シナリオを設定し、疑似的なサイバー攻撃を行うことでセキュリティ上の脆弱性や問題点を評価します。
OSCPとは、Offensive Security Certified Professional の略で Offensive Security社が開発・運営するペネトレーションテストの認定試験です。資格取得により、攻撃対象への侵入や特権昇格の技術力を証明することができます。国際的に難関資格とされており、海外ではペネトレーションテストを実施するための必須要件です。
想定するシナリオ
ペネトレーションテストではシステムやネットワーク環境に合わせて様々なシナリオを設定します。設定したシナリオで実際に侵入を試みることで、システムの脆弱性や問題点を評価するのです。想定するシナリオの例は以下を参考にしてください。
- サイバー攻撃で悪用されやすいVPNの脆弱性をついた攻撃を試みる
- インターネット経由でWebサーバへ侵⼊を試みる
- パスワードクラックを試みる
- Webサーバへ侵入できたことを想定し、機密情報の窃取を試みる
- 社内システムへ侵入できたことを想定し、ファイルサーバへ不正アクセスを試みる
テスト実施の流れ
ペネトレーションテストの基本的な流れは以下のステップで行われます
- ポートスキャン
サーバの各ポートへデータを送信し、その応答状況を調べる方法です。各ポートの状況を把握し、そのサーバでどんな機能(サービス)が提供されているかなどを把握します。 - 脆弱性診断
対象のシステムやサーバの脆弱性を洗い出します。(網羅的ではない) - 疑似攻撃の実施
想定シナリオを決定し、ホワイトハッカーによる疑似攻撃を実施します。 - レポーティング
疑似攻撃実施後、テストの結果に基づいた報告書を作成します。テストで発見された脆弱性や問題点の詳細、今後の対策などを記載します。
ご報告
テスト実施後、結果と今後推奨する対応をまとめた報告書をご納品します。ご報告内容は以下を参考にしてください。
ご報告内容
- エグゼクティブサマリ
- テスト結果の詳細(スクリーンショット付きで説明)
- 対応すべき事項
- 推奨対応事項
ペネトレーションテスト(侵入テスト)の費用
ペネトレーションテストの費用はIPアドレス数・期間等によって変動いたします。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
まずはお気軽にお電話下さい。
\入力から送信まで3分で簡単に完了/
ペネトレーションテスト(侵入テスト)は専門業者へ依頼する
ペネトレーションテストの実施には専門性の高い知識と豊富な経験が必要不可欠です。
専門的なノウハウを持たない中で、個人ないし自社のみでペネトレーションテストを行うと、実態を正確に把握できない可能性が高いです。
組織や社内において、現状のセキュリティ上の抜け穴や脆弱性、問題点を把握しておくことは重要です。今後サイバーインシデントの発生リスクを最小限に抑えるためにも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.2万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定・調査します。豊富な知識・経験を持った専門家がペネトレーションテストを行います。
デジタルデータフォレンジックは、24時間365日体制で相談、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
選ばれる理由
累積ご相談件数32,377件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積32,377件以上(※1)のご相談実績があります。また、警察・捜査機関から累計360件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
多くのお客様にご利用いただいております
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
