概要

侵入テスト(ペンテストとも呼ばれます)では、監査人が外部からの攻撃者として行動します。防御対策を回避し、会社のネットワークに侵入しようと試みます。隠れたシステムの欠陥を見つけ、実際の攻撃者がそれらの欠陥を悪用した場合の会社業務における潜在的影響を評価します。このアセスメントでは、お客様のセキュリティツールの徹底した技術的分析に加え、会社従業員のITセキュリティに対する意識の高さについても評価を行うことがあります。

当社の専門家は、銀行からテレコム会社、公益事業団体から政府機関まで、様々な顧客の幅広いシステムにおいて、何百件もの侵入テストを行ってきました。当社のチームが実施する典型的な侵入テストの作業には以下が含まれます。

  • 全面的な導入前に、オンラインバンキングシステムのウェブインターフェースへのハッキングを試行。
  • セキュリティ研修後の従業員の意識レベルを測るため、ソーシャルエンジニアリングの手法を採用。
  • デフォルトシステム設定、設定ミスや脆弱なパスワードなどの脆弱性を標的にすることで、企業内部ネットワークへの不正アクセス獲得に挑戦。

外部侵入テストと内部侵入テスト

侵入テストの実施は、鍵となる情報セキュリティ人員、例えばシステム、ネットワーク管理者へ事前に通知してもしなくても可能です。これらの従業員への警告なしでシミュレーション攻撃を行うえば、会社経営上層部は現在のセキュリティ対策効果の実態を確認することができます。しかしながら、サーバーやネットワーク機器の設定が貧弱だったり、シミュレーション攻撃に対するセキュリティチームの対応が悪かった場合、このような事前通知無しでのテストがネットワークの通常運用を途絶させる原因となることもあります。

このため、多くの場合、侵入テストは外部と内部の2段階に分けられます。まず、当社の専門家が、例えばマルウェアをワークステーションにインストールするなどして、境界のハッキングを試みます。この外部段階が成功した場合、その後でシステム管理者と連携体制をとり、内部攻撃に対抗する手段の評価を始めます。

技術侵入テスト

技術侵入テストは、IT基盤に現存する脆弱性を割り出し、それらを悪用することが可能かどうかを示す実践的証拠を提供します。当社の専門家が実施する典型的な段取りは次の通りです。

  • 攻撃者が利用可能な情報源(インターネット、ニュース、会議)を使用し、ネットワークに関する情報を収集。
  • ネットワークをマップし、外部からの刺激による反応に基づいて、機器、オペレーティングシステム、アプリケーションの種類を判断。
  • ネットワークサービスやアプリケーション内の脆弱性を特定。
  • ウェブクライアントアプリケーションを分析、自動ツール、また、SQLインジェクション、クロスサイトスクリプティング、コンテンツスプーフィング、OSコマンディング、誤った設定認証や承認メカニズムなどの手動手法を用いて脆弱性を検出。
  • 適合する手法とツールを用い、発見された脆弱性の悪用を試みる。
  • 許可取得の上、ワイヤレスネットワークのセキュリティ制御権の獲得を試みる。
  • 許可取得の上、サービス妨害などの攻撃に対する外側の境界線およびオープンリソースの安全性を確認。
  • ネットワーク要素のセキュリティレベルと、最も激しい攻撃シナリオにおける損害の可能性を評価
  • リンクレイヤに対する攻撃に対抗するネットワークの強さを確認。STP、VTP、CDP、ARPリンクレイヤプロトコルに対するシミュレーション攻撃を実施。
  • 機密情報(パスワード、部外秘データなど)を取得するためネットワークトラフィックを分析。
  • ルーティングの安定性を確認。ルーティングプロトコルに対するサービス妨害攻撃のモデルとルートを作成。
  • 機密情報に不正アクセスすることのできる能力を立証。
  • テストの様々な段階で入手した権限を使い、様々な情報リソースへの権限にアクセスできる能力を立証。

社会技術侵入テスト

多くのネットワークでは、一般ユーザーが最も弱い鎖となります。攻撃者が会社従業員を騙すことに成功した場合、ワークステーションの制御権を獲得できるかもしれません。攻撃者はそこから、機密書類、データあるいは顧客アカウントへのアクセス、会社のウェブサイトへ悪意ある内容の投稿、顧客データを利用したスパムやフィッシング活動、会社のネットワークリソースを利用した他社システムへの攻撃、あるいは会社が通常ビジネスを行う能力の制限などを行う可能性があります。

ソーシャルエンジニアリングの手法を使用することで、従業員のセキュリティ意識の程度を割り出し、フィッシングやファーミングなどのハッキング手法に対する反応を測定することができます。組織内で即急に対応が必要なセキュリティの領域を割り出すことも可能で、このサービスは、最近の意識向上研修の効果の調査目的でも特に有用です。当社の調査は、通常特定のユーザーグループを対象とし、異なるグループには異なる調査シナリオが利用されます。次のようなシナリオが考えられます。

  • 匿名のユーザーや従業員を送信元とした、パスワード変更またはパスワードや個人情報の送信を要請するウェブリソースへのリンクあるいは実行可能コードを含むEメール・インスタントメッセージ(IM)の送信。
  • “クリーンデスク”ポリシー(ロックが解除されたまま無人で放置されているワークステーション、パスワードを書いた付箋、付き添いのない訪問者が入ることのできるオフィスエリアに放置された機密書類など)のランダム検査の実施。

総合的アプローチ

当社の調査員は、本物の外部からの攻撃者と同様の行動を取る目的で技術侵入テストまた社会技術侵入テストの双方から得た情報を組み合わせ、既存のセキュリティメカニズムの回避やネットワーク権限の引き上げ、機密情報へのアクセス獲得、DBMSの変更、既存のセキュリティポリシーの違反行為をユーザーに促す、などの行為を可能にするためにハッカーがどのように脆弱性をつなぎ合わせるのかを実証します。

結果

当社の侵入テストサービスにおける重要な成果物は、以下を詳述するレポートです。

  • テスト手法
  • 情報セキュリティシステム内で見つかった脆弱性
  • 見つかった脆弱性全ての説明
  • ユーザーのセキュリティ意識度とネットワーク全体の防御力に関する結論
  • 各対象グループ内のユーザーの活動に関する情報を含む、主な懸案事項の説明
  • 見つかった脆弱性のリスクを軽減するための提言