ペネトレーションテストとは

侵入テストや倫理的ハッキングとも呼ばれるペネトレーションテストは、実際のサイバー攻撃をシミュレートすることで、組織のサイバーセキュリティ能力をテストし、脆弱性を明らかにします。ペネトレーションテストは、コンプライアンス要件の遵守を確認するための単なる脆弱性スキャンだと思うかもしれませんが、実際はそれ以上の作業を伴います。

ペネトレーションテストの目的は、環境の脆弱性をテストするだけでなく、組織に対して考えられる脅威に照らして、人員とプロセスがどの程度備えができているかをテストすることにあります。どのような攻撃者により標的にされる可能性があるかを把握することで、ペネトレーションテスト担当者は、特定の攻撃者の具体的な戦術、手法、手順 (TTP) を模倣することが可能になります。これにより、組織は実際に発生する可能性の高い侵害のシナリオについて現実的なイメージを持つことができます。

ペネトレーションテストの手順

ペネトレーションテストは、ほとんどの場合、MITRE ATT&CKフレームワークに定められた手順に従って実施します。MITREフレームワークとは、侵害のライフサイクルにおけるさまざまな段階で見られる既知の攻撃の戦術、手法、手順を集めたナレッジベースです。

ペネトレーションテスト担当者は、このフレームワークに従うことで、特定の攻撃者の振る舞いに沿ったモデルを作成することができるので、テストにおいてより正確に実際の攻撃を模倣できます。現在、Mitreのエンタープライズマトリクスには、以下の12の戦術が定められています。

1. 初期アクセスとは、環境にアクセスするためにハッカーが悪用するベクトルを指します。
2. 実行とは、環境へのアクセスに成功した後に、攻撃者がコードを実行するために使用する手法を指します。
3. 永続化とは、攻撃者がネットワーク内にとどまるために実施するアクションを指します。
4. 権限昇格とは、攻撃者がシステムへのより高いアクセス権限を取得するために実行するアクションを指します。
5. 防衛回避とは、侵入者がシステムの防御を回避するために使用する手法を指します。
6. 認証情報アクセスとは、ユーザーや管理者から認証情報を取得するために使用する手法を指します。
7. 探索とは、攻撃者がシステムおよび現在保持しているアクセス権について理解を深めるために使用する学習プロセスを指します。
8. ラテラルムーブメントとは、攻撃者がリモートシステムに対するアクセス権と制御権の取得に使用する戦術です。
9. 収集とは、攻撃者が標的とするデータの収集に使用する戦術です。
10. コマンド&コントロールとは、侵害したネットワークおよび制御を手にしたシステムとの通信の確立に使用する戦術です。
11. 持ち出しとは、攻撃者がシステムから機密データを抜き取るために実行するアクションです。
12. 影響とは、業務運営に影響を与えるための戦術です。

ペネトレーションテストで用いる戦術は、模倣する攻撃者の戦術に応じて異なってきます。

一般的に、ペネトレーションテストは、計画、偵察、アクセス権の取得/維持、分析、修復という段階を経て実施されます。

ペネトレーションテストのタイプ

ペネトレーションテストの実施を検討するにあたって、あらゆる状況に適した汎用的なテストは存在しないことに注意してください。組織ごとに、その環境、業界のリスク、攻撃者が異なります。また、組織のすべてのニーズを単一のタイプのペネトレーションテストで満たすことはできません。

組織の特定の目標や脅威プロファイルに合わせて設計された、さまざまなタイプのペネトレーションテストが存在します。以下に、最も一般的なタイプのペネトレーションテストを示します。

1. 内部ペネトレーションテスト

組織の内部システムを評価して、ネットワーク内における攻撃者のラテラルムーブメントの可能性を判断します。このテストには、システムの特定、列挙、脆弱性の検出、エクスプロイト、権限昇格、ラテラルムーブメント、最終的な目標達成が含まれます。

2. 外部ペネトレーションテスト

インターネットに接続しているシステムを評価して、外部へのデータの流出や不正アクセスにつながる悪用可能な脆弱性があるかどうかを判断します。このテストには、システムの特定、列挙、脆弱性の検出、エクスプロイトが含まれます。

3. Webアプリケーションペネトレーションテスト

3段階のプロセスを使用して、Webアプリケーションを評価します。1つ目は偵察です。偵察では、使用されているオペレーティングシステム、サービス、リソースなどの情報を特定します。2つ目の段階は検出です。検出では、脆弱性を特定します。3つ目の段階はエクスプロイトです。特定した脆弱性を悪用して、機密データに不正にアクセスします。

4. インサイダー脅威ペネトレーションテスト

正当な権限を持たないユーザーによる機密性の高い内部リソースやアセットへのアクセスを可能にするリスクや脆弱性を特定します。認証解除攻撃、設定ミス、セッションの再利用、未承認のワイヤレスデバイスなどの弱点を評価します。

5. ワイヤレスペネトレーションテスト

ワイヤレスネットワークに関連するリスクや脆弱性を特定します。認証解除攻撃、設定ミス、セッションの再利用、未承認のワイヤレスデバイスなどの弱点を評価します。

6. 物理的なペネトレーションテスト

企業のコンピューターシステムへのアクセスを獲得する試みに対抗するための物理的なセキュリティに関するリスクや脆弱性を特定します。ソーシャルエンジニアリング、テールゲーティング、バッジの複製、その他の物理的なセキュリティ対策の弱点を評価します。

ペネトレーションテストを実施すべきタイミング

ペネトレーションテストは、侵害が発生する前に実施することが重要です。多くの組織は、実際に攻撃を受け、データ、知的財産、信用を失うまでテストを実施しようとしません。ただし、実際に侵害を受けた場合は、影響を効果的に緩和できていることを確認するため、侵害後に修復ペネトレーションテストを実施する必要があります。

ベストプラクティスとして、システムの開発中またはインストール時、および本番環境に移行する直前にペネトレーションテストを実施することをお勧めします。ペネトレーションテストの実施が遅れると、コードの更新にかかるコストが大幅に増大します。また、コードの変更に充てる期間が短くなるというリスクも生じます。

ペネトレーションテストは、1回やれば終わりという性質ものではありません。何らかの変更を行った際には必ず実施するとともに、最低でも年1回は実施する必要があります。企業の規模、インフラストラクチャ、予算、規制要件、新出の脅威なども、テストを実施する適切な頻度を決める要素となります。

ペネトレーションテストの実施頻度

少なくとも年1回は大規模なペネトレーションテストを実施することをお勧めします。これにより、セキュリティのアップグレードとパッチを定期的に展開でき、さらにはPCI DSS (Payment Cardholder Industry Data Security Standard) などのデータセキュリティ標準へのコンプライアンスもサポートできます。

また、年に2回、あるいは四半期に1回という頻度でテストを実施すれば、潜在的なセキュリティリスクをより頻繁に、かつ侵害が発生する前に明らかにすることができ、全体的な視点からセキュリティ体制についてより包括的に把握することができます。

ペネトレーションテストは、システムまたはネットワークに存在する具体的な脆弱性を明らかにします。そのため、ネットワークインフラストラクチャに新たな要素が追加された場合や、主要なアプリケーションで大幅な見直しが行われた場合は、常にペネトレーションテストを実施するのが理想です。このようなタイミングで、環境の脆弱性が最も高まり、弱点を悪用されやすい状態になるためです。

ペネトレーションテストの実施者

多くの独立系のサイバーセキュリティ専門家やサイバーセキュリティ企業が、ペネトレーションテストをサービスとして提供しています。ペネトレーションテストを社内で実施することもできますが、外部の「倫理的ハッカー」はシステムについて先入観を持たないため、より多くのインサイトを提供することができます。

ただし、ビジネスの性質によっては事態が複雑になることがあります。「ハッキング」活動に関連して法的に考慮すべき事項があると、ペネトレーションテストのプロセス全体に慎重な取り扱いが必要となります。現在のところ、米国の法律においては、ペネトレーションテストの当局による監督はほとんど行われていません。ただし、州や連邦政府のレベルで、倫理的な実施やコンプライアンスを保証するための法律が定められています。

米国の法律のもとでは、企業は実施するテストの正確な範囲と奥行きについて概要を記した同意書に署名する必要があります。同意がないペネトレーションテストは、未承認のハッキングに該当します。州によってはハッキングの一形態とみなされ、さまざまな罰則が科されることがあります。

すべてのペネトレーションテスト活動が法的要件を満たしており、かつあらゆる法的文書が正確かつ漏れなく記入されていることを確認する必要があります。また、倫理的ハッカーの資格や経歴を調査するためのバックグラウンドチェックも重要です。たとえば、CRESTおよびNCSC認定は、信用できるペネトレーションテスト企業に与えられる、業界で認められた資格です。

ペネトレーションテスト後に実施すべき内容

ペネトレーションテストは、実際に存在する脆弱性をテストし、それらの脆弱性にパッチを適用することにより、長期的なセキュリティ戦略を強化し、発展させる取り組みです。

サイバーセキュリティ侵害によるダウンタイムや中断、およびデータ保護規制を遵守していないことによる多額の罰金を回避するためには、ペネトレーションテストの結果に基づきすみやかに対策を講じることが重要です。

ペネトレーションテスト後に、以下を実施する必要があります。

• 外部のペネトレーションテストチームおよび社内のサイバーセキュリティチーム双方同席のもと、最終的なレポートを確認し、テスト結果について話し合います。
• テスト結果への対策として、包括的なサイバーセキュリティ戦略および修復計画を策定します。
• テストおよび脆弱性スキャンを繰り返し実施して、パッチ適用およびアップグレードの成功と進捗を長期的に追跡します。

ペネトレーションテストは、包括的に脆弱性を評価し、環境に存在する潜在的な弱点の範囲と重大度についての詳細なインサイトを提供します。これにより、セキュリティの強化に役立つ、多くの具体的な改善点が得られます。

チーミングとは

チーミングとは、企業のサイバーセキュリティ能力を組織立てて強化するための、ペネトレーションテストの手法です。参加者はレッドチームとブルーチームの2つのチームに分かれます。レッドチームは積極的に脆弱性を探し出し、攻撃を試みます。ブルーチームは、侵害を回避できるようそれらのリスクにパッチを適用します。

チーミングの目的は、可能な限り多くの脆弱性を明らかにすることではなく、脅威や弱点への対応の有効性を評価することにあります。チーミング演習からの知見は、多くのリスクが潜む現代のサイバー空間において、企業が迅速かつ効果的にビジネスを保護する能力を強化します。

チーミング演習には、以下の3チームが関与します。

• レッドチーム：通常は社外のチームがこの役割を担います。レッドチームは、組織の既存のセキュリティインフラストラクチャの有効性を調査します。レッドチームはペネトレーションテストと同様のテストを実施しますが、一度に環境全体のテストを行うのではなく、個別の問題をターゲットにしてテストを実施します。
• ブルーチーム：企業の社内セキュリティチームです。社内でセキュリティ強化に従事するこのチームは、突然脅威が発生しても迅速かつ的確な対応ができるかについて、レッドチームによるテストを受け、必要に応じて注意喚起を受けます。
• パープルチーム：レッドチームとブルーチームが一体となり、連携して作業する際に結成されるチームです。パープルチームは、潜在的な脅威についてより多くの情報やフィードバックを提供することにより、サイバーセキュリティ対応を強化することを目的とします。パープルチームは、演習の結果を確認および評価する際にも役立ちます。