ペネトレーションテストとは外部にネットワーク接続されたシステム等で定期的に行われている
侵入テストの事を言い、実際に既知の攻撃方法や侵入方法を実際に行い弱点を見つけるテスト方法です。
今回はペネトレーションテストの概要を記載します。

■ペネトレーションテストの必要性

・セキュリティホールが内在している可能性がある。
⇒FWやアクセスコントロールを実施しても完全ではない。
・アプリケーションの脆弱性対策
⇒導入時以降の脆弱性やバグの発見
・新たなセキュリティホールの発見
⇒日々新しいセキュリティホール発見によるリスクが報告されている

■ぺネトレーションテストを行う主な観点

・外部から侵入されないかどうか？
・DoS・DDos攻撃を受けた際に絶えられるかどうか？
・第三者のコンピュータを攻撃する踏み台になってないかどうか？

上記のような観点で行い。主にnmap等に代表される、
セキュリティスキャナツールを使用する検査と実際に人手を介して
外部からの侵入等を行う検査があります。

またアプリケーションの脆弱性に対しても行っている業者も多く、
以下の検査項目等があります。

• クロスサイトスクリプト
• バッファーオーバーフロー
• ディレクトリトラバーザル
• SQLインジェクション
• シェルコマンドインジェクション
• VBコマンドインジェクション
• クッキーハイジャック
• セッションハイジャック
• ディレクトリ・ファイル名予測
• ブルートフォース
• パラメータ検査
• 暗号解読
• 認証の弱点をつくテスト等

上記の項目に対して管理者が自ら検査を行う方法もありますが、
脆弱性やセキュリティホールに対する専門の知識が必要であり
専門のセキュリティベンダーにペネトレーションテストを委託するのが
一般的な方法です。
またセキュリティ監査の一部としても捉えられることが出来るため
第三者機関に行ってもらうという側面もあるようです。

日本では、長野県がやった住民基本台帳ネットワークへのテスト
がペネトレーションテストを行ったことで有名。
実際の試験構成も載っているため分かりやすいと思います。
http://www.soumu.go.jp/c-gyousei/daityo/pdf/031017_1_s1.pdf

ちなみに情報処理試験にも出る言葉なのでセキュリティ管理者のみならず
理解しておいたほうがよいでしょう。

◎その他参考サイト
ペネトレーションテスト業務を行う上で必要な技術的な情報
http://pen-test.jpn.org/pentest:pentest_home

スパムの語源って何？

スパムの言葉はもともとはInternetのニュースグループで使われおり、
そのニュースグループで無差別に投稿される広告記事をスパムと読んでいたといわれています。
その後無差別に送られてくるメールもスパムと呼ぶようになったと言われおり
気になる語源はイギリスのコメディアングループの「モンティパイソン」説が有力であるようです！

詳しい語源はNorthwestern University[[が出している資料に書かれていますが、

資料URLはこちらから ： ftp://ftp.isi.edu/in-notes/rfc2635.txt

モンティパイソンがBBC のコメディ番組でコントをやったのがきっかけとなったよう。

コメディではアメリカのHormel Foods社の「SPAM」という豚肉の缶詰をネタにしたもので、

1. とある客がレストランでウェイトレスに注文
2. メニューは豚肉の缶詰の「SPAM」入りのものばかり
3. 「SPAM」入りでないものを注文したかったのだが、 感情的になり「SPAM」を連呼
4. それに便乗し、レストランの他の客までもが「SPAM」「SPAM」と騒ぎ出し
5. 「SPAM」で会話が成り立たなくなってしまった。

まるでこの「SPAM」で会話が成り立たなくなることが、現代のニュースグループの無差別投稿や
]]迷惑メールのようなことから呼ばれるようになったと言われています。

ちなみにこのコメディ番組で行ったコントは「スパムスケッチ」という！

実際のHormel Foods社の「SPAM」缶はこちら

スパムメール対策の必要性と理解

語源はここらへんにしておいて、企業ではウイルス対策や不正アクセス対策が進んでいる中
スパムメール対策を行っている企業は50％以下にとどまっています。

スパムメール自体が迷惑だけでなく、メールに書かれたリンク先や添付ファイルからのウイルス感染、
スパイウェアなどの悪意のあるプログラムへの感染、フィッシング詐欺やワンクリック詐欺など
2次的な金銭的被害を引き起こす可能性があります。
また企業によってはリソースの圧迫等など通常業務に支障をきたすことさえあり、
これからのセキュリティ対策として重要な項目の一つです。

スパムメールの対策方式

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

■レピュテーション
スパムメール(迷惑メール)を送信しているサーバのリスト　送信元IPを遮断する方法

■コンテンツフィルタリング
ヘッダーや本文の中身を見ることでスパム独特の文字列等が含まれているかいないかで判断する方法
市販のウイルスソフトのSPAM機能はこの方式です。

■送信者認証
送信元が詐称されていないかどうかをチェックできる仕組み
米Microsoftなどによる「Sender ID」や米Yahoo!の「DomainKeys」など現在標準化が進んでいる

■Port 25 Block
メールの送信者側からスパムメールの送信を防止
主にISPがADSLユーザなどに対し提供する動的なIPアドレスの範囲から、
外部のメールサーバに直接接続することを禁止するもの

今後中小企業においては、まずはウイルス対策と同時にコンテンツフィルタリングの導入や
レピュレーションも同時にでき、コストが安く上がるゲートウェイアプライアンスの導入を
考える必要があります。
特に自社サービスを提供している企業であったり、なんらかのメール通達システムを持って
いる企業であればスパムメール受信はもとより、発信者にならない為の対策をする必要があります。

その他参考サイト

業界全体で連携して迷惑メールに対処することを目的とした、迷惑メール対策グループ「JEAG」

スパムメール対策をしよう

迷惑メール相談センター

今週の気になるセキュリティニュース

MSがセキュリティ啓発の新施策、中小企業向け診断ツールなどを無償提供
http://itpro.nikkeibp.co.jp/article/NEWS/20070921/282768/?ST=security

システム運用管理担当者などが社内のITインフラのセキュリティ水準を自己診断するための
「セキュリティアセスメントツール」を、10月後半から無償で提供する
（注：10月後半から同社Webサイト上の「セキュリティ」コーナーで提供)。
主に従業員数が1000人未満の中堅・中小企業が対象。

このようなツールは是非社内で導入し診断することをオススメします。