色々
今日学んだことをまとめていきたいと思います。
まず一つ目。ペネトレーションテストです。
こちらは昨今話題となっているサイバー攻撃に対するものになります。
システムは構築して終わりではなく、そのシステムの安全性を高めなければなりません。
その中で使うツールの一つがペネトレーションテストです。ツールというより、人がやる部分が多いみたいですが。
ペネトレーションテストは日本語に訳すと侵入テストとなるそうです。
どういうものかというと、システム全体の観点でサイバー攻撃に耐性がどれくらいあるかを試すために、悪意のある攻撃者が実行するような方法に基づいて、実践的にホワイトハットハッカー(公認の仕事をするハッカー達)がシステムに模擬的にハッキングするというものみたいです。
ペネトレーションテストの流れ
まず顧客にヒアリングをします。
テスト対象となるシステムのネットワーク構成を知り、個人情報や機密情報の保管状態、アクセスログの取得状況を考慮して、どのようなテストを行うかシナリオを作成します。
そしてそのシナリオに従って侵入テストを行い、結果を記録します。
自動、手動様々ですが手動の部分が半分はあるみたいです。
で、テスト結果を基に報告書を作成します。
テストの方法
内部の構造を把握して、顧客のシステムに合わせた内容で行う
内部構造を考慮せず外部から把握できる機能を検証します
攻撃者がシステムの外部から攻撃することを想定したテスト
内部に攻撃者が侵入していることを想定したテスト
コスト
システムの規模やシナリオによってだが数十万から数千万かかる
メリット
安全な環境で調査することができる
システムに応じたテストを行うことができる
報告書を得ることができ具体的な対策が可能
デメリット
規模によって膨大なコストがかかる
行う人間のスキルやツールの操作の習熟度によって成果が異なる
何故必要か??
脆弱性を明らかにし具体的対策を取らなければ行けないから
脆弱性診断との違い
自動化ツールと手動プロセスの組み合わせである脆弱性診断に比べ主導中心
脆弱性診断はホストあたりで数分程度で終わることが多い
ペネトレーションテストはテスト範囲や台数によって数日から数週間かかる
脆弱性診断は悪用された場合の脆弱性の特定、ランク付け、報告まで
ペネトレーションテストはセキュリティ機能がどのように回避され無効化できてしまうか具体的に知ることができる
以上です