セキュリティの弱点を発見するペネトレーションテストとは?
ペネトレーションテストとは外部にネットワーク接続されたシステム等で定期的に行われている
侵入テストの事を言い、実際に既知の攻撃方法や侵入方法を実際に行い弱点を見つけるテスト方法です。
今回はペネトレーションテストの概要を記載します。
■ペネトレーションテストの必要性
・セキュリティホールが内在している可能性がある。
⇒FWやアクセスコントロールを実施しても完全ではない。
・アプリケーションの脆弱性対策
⇒導入時以降の脆弱性やバグの発見
・新たなセキュリティホールの発見
⇒日々新しいセキュリティホール発見によるリスクが報告されている
■ぺネトレーションテストを行う主な観点
・外部から侵入されないかどうか?
・DoS・DDos攻撃を受けた際に絶えられるかどうか?
・第三者のコンピュータを攻撃する踏み台になってないかどうか?
上記のような観点で行い。主にnmap等に代表される、
セキュリティスキャナツールを使用する検査と実際に人手を介して
外部からの侵入等を行う検査があります。
またアプリケーションの脆弱性に対しても行っている業者も多く、
以下の検査項目等があります。
- クロスサイトスクリプト
- バッファーオーバーフロー
- ディレクトリトラバーザル
- SQLインジェクション
- シェルコマンドインジェクション
- VBコマンドインジェクション
- クッキーハイジャック
- セッションハイジャック
- ディレクトリ・ファイル名予測
- ブルートフォース
- パラメータ検査
- 暗号解読
- 認証の弱点をつくテスト等
上記の項目に対して管理者が自ら検査を行う方法もありますが、
脆弱性やセキュリティホールに対する専門の知識が必要であり
専門のセキュリティベンダーにペネトレーションテストを委託するのが
一般的な方法です。
またセキュリティ監査の一部としても捉えられることが出来るため
第三者機関に行ってもらうという側面もあるようです。
日本では、長野県がやった住民基本台帳ネットワークへのテスト
がペネトレーションテストを行ったことで有名。
実際の試験構成も載っているため分かりやすいと思います。
http://www.soumu.go.jp/c-gyousei/daityo/pdf/031017_1_s1.pdf
ちなみに情報処理試験にも出る言葉なのでセキュリティ管理者のみならず
理解しておいたほうがよいでしょう。
◎その他参考サイト
ペネトレーションテスト業務を行う上で必要な技術的な情報
http://pen-test.jpn.org/pentest:pentest_home