ホーム > ニッポンを守る技術 > ペネトレーションテストで、世界一を目指します!
 

ペネトレーションテストで、世界一を目指します!


ペネトレーションテストとは?

ペネトレーションテスト(通称ペンテスト)とは、コンピュータやネットワークのセキュリティー上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法です。特に、ネットワーク接続された情報システムが外部からの攻撃に対して安全かどうか、実際に攻撃手法を試しながら安全性の検証を行います。不正に侵入できるかどうかだけでなく、DoS攻撃にどのくらい耐えられるかを調べたり、社員のIDで社長のIDに不正侵入できるかを調べたり、侵入された際にそこを踏み台にして他のネットワークを攻撃できるかを調べたりすることもできます。

日本でも、多くのセキュリティー事業者がペンテストサービスを提供していますが、一言でペンテストと言っても、種類があります。ピッキング覚えたての空き巣、テロ国家が送り込んだ犯罪組織による大型窃盗団、どちらを想定するかによって、安全性の検証も、安全対策の方法や体制も異なるイメージです。

日本国内で行われているペンテストは、市販のツールを使った脆弱性のチェックを主とし、これは先述の例で言うと、よくある空き巣の手口を考慮し、狙われやすい場所を徹底的にチェックする安全対策です。被害件数が多いので重要な対策です。

一方、イーライトが提供するペンテストは、万が一、テロ国家による犯罪組織に狙われた場合をも想定し、狙われにくい内外のすべて、ソーシャルエンジニアリングやインサイダーも含めて、ありとあらゆる方法を用い、複合的に侵入を試みる安全対策です。被害件数は少ないですが、ひとたび、国家・銀行・インフラ機関・大企業・人気サービスが狙われると、被害が大きいために重要な対策です。

イーライトは、このペネトレーションテストにおいて、世界一を目指します。

ペネトレーションテスト(ペンテスト)の目的とは?

普通の泥棒で考えていただくと分かりやすいですが、昼夜問わず警備員が巡回している最新鋭のビルに忍び込むのと、夜間は監視カメラのみが作動しているだけの雑居ビルに忍び込むのとでは、やはり後者のほうが、犯罪を起こしやすくしてしまっているということになります。それは即ち、前者のほうが、犯罪に対する抑止力が強いということになります。凶悪犯罪者や犯罪組織から街の平和を守るためには、銃を持ち、厳しい訓練を受けた強い警察官が必要なのと同じで、平和を維持するためには、正しい力を振りかざせる人間の力と巡回が必要であるということを忘れてはならないのだと考えております。

相手は、ルール無用の悪党

サイバー犯罪者の中でも、特にエリートハッカーは、非常に巧妙に、そして鍛え上げられた実力をフルに活用して、容赦なく攻撃をしかけてきます。そこには、必ず目的がありますし、大きなAPT攻撃(標的型の攻撃)であればあるほど、犯罪者は1名ではなく、数十名の組織として襲いかかってきます。

脆弱性のあるシステムを利用し続けている場合、訓練を受けた、たった1人のエリートハッカーが、たった1台のパソコンから発した命令によって、

何万人、何十万人のスタッフを抱える民間や公共の情報システムが、何百万人、何千万人のユーザーを抱える民間や公共の情報システムが、

●機能不全(サイト、サーバー、機能停止状態)に陥ります
●社員や会社の情報が持ち出されます
●お客様の情報(顧客データ)、ID/PASSが流出します
●開発中の新製品の情報が盗まれます
●気づかぬうちに、定期的に社外秘情報をのぞかれます

このくらいは、エリートハッカーの実力からすると、やってできないことではないということを念頭に置いておかねばなりません。

何億、何十億、何千億、または、お金には換えられないほど大きな価値のある積み上げてきた信用までもが、サイバーマフィアが雇った、たった1人のハッカーによって失われるのは、あまりにアンフェアです。

サイバー攻撃は、災害と同じで、来ることを想定した上で高いレベルの基準を設け、来ることを想定した上で訓練を行い、来ることを想定した上で定期的に対応の見直しをしておかねばならない、『リアル』だと捉えたほうが良さそうです。

独立行政法人情報処理推進機構(IPA)は、APTに関して下記の見解を出しています。

「脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗な攻撃」(「IPAテクニカルウォッチ『新しいタイプの攻撃』に関するレポート」より引用)

また、McAfeeは、APT攻撃について次のように定義づけています。

「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の支持または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為または犯罪行為」(McAfee「2011年の脅威予測」より引用)

ペネトレーションテストは、世界最高レベルでの保護方法

セキュリティソフトで保護をすれば大丈夫という、誤った認識も横行しているようですが、APTなどの標的型攻撃に対しては、ソフト=システムで守り抜けるものではありません。

APTには、人間が、定期的にシステムの免疫力を向上させていく=人間が、定期的に脆弱性をチェックすること(ペネトレーションテスト)が、唯一つ、盤石な対策です。もちろん、犯罪者を上回る非常に高いレベルが必要です。大手IT企業、例えばGoogleなどでも、一般人のハッカー達に脆弱性を発見させて、報奨金を支払うシステムを採用しています。

ルールのない攻撃に対する防御方法を構築するためには、ルールのない攻撃を、安全な人間がテストで行うしかないということです。

イーライトでは、世界のサイバー犯罪の動向や、世界のAPTの特徴を勉強しており、あらゆる攻撃から盤石な保護をされたい企業様にご協力できます。

例えば、よくあるケースですが、大きな企業や、特殊な技術を持っている企業であればあるほど、多目的情報収集スタッフ=スパイ、もしくは、その予備軍が潜り込んでいます。途中から買収されるスタッフもいれば、最初からスパイ目的で潜入しているスタッフもいます。これは日本だけではなく、世界共通の事実です。企業に限らず、公務員でも同様です。

そのような悪意あるインサイダーが潜り込んでいる場合、社内でどんなに高価なセキュリティシステムを組んでいても、社内の情報は非常に大きな危険にさらされていることになります。なぜなら、例え、彼らが持っているアクセス権限が最下位ランクの権限であったとしても、それを利用して社内システムの脆弱性を見つけ出したり、もしくは引き出したりして、結果的に、部長課長クラスしかアクセスできない情報や、役員クラスにしかアクセスできない情報まで、彼らに筒抜けになってしまうからです。

システム外部からの攻撃よりも、システム内部からの攻撃のほうが怖いのは、損失レベルが大きいからです。だからこそ、内部に、もしも、インサイダーが潜り込んでいる場合に備えて、内部からシステムをペンテストし、スパイに自由自在な権限を与えないようにすることが大切です。

ペネトレーションテストの方法とは?

通常、ペンテストは、複合的に行います。例えばある1つのペンテストを行ったとしても、他の部分に脆弱性があれば、そのペンテストには、ほぼ意味がなくなってしまうからです。例えて言うと、どんなに、表門の扉を3重の最新ロック(施錠)にしたところで、裏門にロックがなければ、泥棒は裏門を選ぶ可能性が高いですから、折角の表門の3重ロックには、意味がなくなってしまう、ということです。従って、弊社が推奨しているペンテストは、複合ペンテストです。方法としては、

イ、BLACK-BOXテスト

システムの内部構造とは無関係に、外部から見た機能を検証するプログラムのテスト方法です。

ロ、WHITE-BOXテスト

システム内部の構造を理解した上でそれら一つ一つが意図した通りに動作しているかを確認する、プログラムのテスト方法です。

ハ、ソーシャルエンジニアリング(social engineering)テスト

ソーシャルエンジニアリングとは、ソーシャルハッキングという言葉にも置き換えが可能です。もっと身近な言葉にしますと、スパイ、工作員、詐欺師、潜入調査員などというイメージにも近いものがあります。宅配便を名乗って住所などを聞き出す手法や、ATMを操作する人の後ろから暗証番号を盗み見たりする行為も、立派なソーシャルエンジニアリングです。コンピューター内に不正に侵入して情報を盗んだりするのではなく、社員のミスや、心理的なスキを狙って、不正にパスワードを聞き出したりもします。有名な手口としては、

  • サーバー管理者などと身分を詐称して電話をかけて、パスワードなどを聞き出す
  • 同僚や上司に成りすまして、メールに添付したPDFを開かせてウイルス感染させる
  • ウイルスが仕込まれた社外秘と書かれているUSBをターゲットとして選んだ社員のカバンに入れたり、机に置いたりする。中身が気になったターゲットは、そのUSBとPCを接続してしまい、社内のネットワークにウイルスが拡散したり、そのターゲットのPCを自由にコントロールして、長期的に企業情報を盗み取る

などが挙げられます。このような人的なスキやミスは、会社内部での機密情報の管理ルールが甘いと生まれやすく、それによって、どんなに高価なセキュリティーシステムを導入していても、容易に機密が漏洩してしまいます。そういった人的要因による情報漏洩、人的要因による社内システム全体の損壊、人的要因による社会的信用の失墜をなくすために行うのが、ソーシャルエンジニアリングというテスト方法です。

大きく分けて、上記イ~ハの3つの方法を複合的に組み合わせてペンテストを行います。

※ペンテストに関する詳細は多様性が高いですので、細部に至ってはメールを通じてご案内させていただきます。

どこに対してペネトレーションテストを行うのか?

ペンテストは、主に、下記に対して行います。

I.ワイヤレスネットワークへのテスト

情報システムのワイヤレスセグメント(segment)構造に侵入できる可能性があるか調査します。また同時に、そのセグメント構造のそれぞれのコンポーネント(アクセスポイント、ネットワーククライアント、認証サーバー、パスワードポリシーなど)の調査/テストも行われます。このテストの目的は、ワイヤレスネットワークの脆弱性を検出することになります。調査/テストの内容としては、

  • お客様のワイヤレスネットワークの調査
  • 検出したネットワークの詳細な分析
  • 認証システム(authentication)と承認システム(authorization)に対して攻撃
  • ネットワークのハードウェアに対して攻撃
  • ネットワーククライアント(network client)に対して攻撃

標準的には、上記のような調査(攻撃も調査に含みます)が行われます。これらの調査結果に基づいて、お客様の情報システムのワイヤレスセグメントのセキュリティレベルをご報告するとともに、検出した脆弱性を排除するための改善方法をお伝えします。

II.ネットワーク外周(外部)のテスト

企業情報システムのワイヤード(有線)ネットワークの脆弱性を検出するために調査します。また同時に、ネットワークの外部から利用できるリソース(resource)、例えばサイトなどと、情報セキュリティマネジメントシステム(ISMS)の調査も行います。調査/テストの内容としては、

  • 企業ネットワークに関する予備情報の確認
  • ネットワークマップ(network map)の製図。ディバイスやOSやアプリケーションの外部からの影響に対する反応の定義
  • ネットワークサービスとアプリケーションの脆弱性の定義
  • 検出した脆弱性を利用(悪用)して、どんなリスクが考えられるか調査(利用方法や試すツールなどは、それぞれの脆弱性によって決まります)
  • 外周とオープンリソース(open resource)に対するDoS攻撃。攻撃に対して、ネットワークエレメント(NE)の安定性を調査し、想定されるダメージレベルを把握
  • ネットワークトラフィック(network traffic)の取り込み調査。検出した脆弱性を利用して、企業にとって最重要な情報(例えば、顧客情報・ユーザーパスワード・社外秘資料など)が漏洩するか(盗まれるか)を調査
  • ルーティング(routing)の安定性テスト。偽造のルートモデリング(falsificated rout modeling)とルーティングプロトコル(rout protocols)に対してDoS攻撃
  • 社員の個人情報が漏えいするか(盗まれるか)調査

標準的には、上記のような調査や攻撃が行われます。これらの調査で検出した脆弱性(穴)と、それによってどのような被害やリスクが考えられるのかをご報告するとともに、改善策をご提供致します。

III.WEBアプリケーションへのテスト

お客様のWEBアプリケーションに関する詳細な調査です。自動ソフト(ユーティリティー)と専門家の手作業を繰り返して行い、脆弱性(穴)を検出します。利用する自動ソフトは、市販のものよりは、自社メイドのものを多用します。基本的な部分として、OWASP基準になっている項目はすべてチェックできます。しかし、OWASPの基準だけをチェックしても安心とは言えませんので、熟練の技術者の経験からくる勘や、鋭い感性から織りなす複合的なアイデアを用いて、侵入実験を行います。例えば、お客様のWEBアプリケーションに対して、下記のような危険があるか(≒下記のような攻撃が可能か否か)を確認します。

–SQL Injection
–Cross-Site Scripting
–Content Spoofing
–OS Commanding
–認証(authentication)と承認(authorization)の不具合で生じる脆弱性
–その他

WEBアプリケーションへのテスト対象例

  • ポータルサイト(portal site)
  • ウェブサイト(website)
  • サービス管理インターフェイス(interface of service control)
  • CRMとERPシステムの外部WEBインターフェイス
  • インターネットクライアントバンクシステム
  • 請求システム(ビリングシステム)
  • マルチレベルの認証システム(multilevel authentication systems)
  • 不正防止システム(anti-fraud systems)
  • その他

IV.I~IIIも含め、お客様のシステムや組み込み機器、すべての環境への複合ペンテスト(弊社推奨)

I~IIIも含めて、お客様の全環境に対する調査です。この複合ペンテストを推奨している理由は、ルール無用の犯罪者のリアルなアクションに一番近い(似ている)作業だからです。世界中のサイバー犯罪のプロファイリングやフォレンジック調査を参考に、システムを利用したり、エリートハッカーが使う攻撃をイミテーションしたり、ソーシャルエンジニアリングを行ったり、BLACKBOX、WHITE-BOX、ありとあらゆる手法を用いてペンテストを行います。それは、世界中のエリートハッカーが用いる手法だからです。ペンテストの対象は、お客様のすべてのパソコンのネットワーク、それを構成するアセンブリ、外部と内部のWEBリソース、スタッフ、取締役、その他、お客様に関連するすべてが、ペンテストの対象になると考えて良いと思います。なぜなら、それがエリートハッカーを抱えるサイバー犯罪組織のやり方であり、標的型攻撃だからです。お客様にとって、自社の情報セキュリティ保護レベルに関して、最も精度の高い情報が得られるのが、弊社推奨の複合ペンテストになります。

※多様性が非常に高いですので、細部に至っては、専門家を通じてご案内させていただきます。

※お客様から、どこまでの権限と時間を与えていただけるかによって、ペンテストの深さが決まります。

期間

【お試しプラン】

実働5~7日
報告書作成2~3日

【中規模プラン】

実働10~50日
報告書作成5~7日

【大規模プラン】

実働50~150日
報告書作成8~10日

料金

お見積りを開始されたい方へ
(今の状況とご要望をお聞きし、お見積りをスタートします)

必要環境

必要なテストによって必要な環境やパソコンが異なります。
基本的には、遠隔でリモート操作できますが、テスト内容や条件によって異なりますので、詳細は協議させてくださいませ。

よくあるご質問

Q, ペネトレーションテストを導入すべき企業は、どんな企業(または業種)ですか?
A, ペンテストが必要のない企業は、平たく言いますと、個人情報など機密情報が無い企業です。犯罪者(ハッカー)の目線で考えた場合、お宝(高く売れる情報)が無い企業です。逆に言いますと、導入すべき企業は、より多くの機密情報を持っている企業です。そして、万が一攻撃を受けた場合に、社員や国民への影響や被害が大きい組織です。日本の各省庁も、ペネトレーションテストを2015年から採用しました。国民への被害が大きい組織の代表は、インフラ(電気・ガス・水道)や国家関係の組織です。

Q, 情報セキュリティは、必要コストですか?
A, セキュリティは、万が一犯罪者に狙われて攻撃を受けた場合でも、その企業や活動が、ストップすることなく、安全に事業を維持していくために必要です。例えば、教育・サービス・医療・航空業界などであれば、宣伝広告費と同様に、セキュリティも必要コスト化されてきている傾向にあります。セキュリティを必要コストとして捉えず、怠っていると、思いもよらぬところで情報が洩れ、メディアと国民から非難され、何百億円もの損失を被ります。向こう10年、20年、犯罪者から攻撃されない保証がないかぎり、サイバーセキュリティの強化を行うべきです。

Q, ペネトレーションテストを推奨している国はどこですか?
A, サイバー防衛を国家防衛として位置付けて古くから活動を行っている国々にとって、ペネトレーションテストは必要不可欠です。サイバー攻撃はテロや戦争とも直結しますので、国家を守ることにつながります。例えば、アメリカ、ロシア、中国、イスラエル、ドイツ、フランス、イギリスも、サイバーセキュリティには余念がありません。

関連項目

ペネトレーションテストツール

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。