侵入テストとは?| ペンテストとは?

侵入テストでは、企業のセキュリティインフラストラクチャに対して計画された攻撃をスケーリングする倫理的なハッカーが関与し、修正が必要なセキュリティの脆弱性を探し出します。侵入テストは、総合的なセキュリティ戦略の一部です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 侵入テスト(ペンテスト)の定義
  • 侵入テストのプロセスの概要
  • 侵入テストを使用して新しいセキュリティ機能を推奨する方法を説明

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

侵入テストとは?

侵入テスト(またはペンテスト)は、サイバーセキュリティの専門家がコンピューターシステムの脆弱性を見つけて悪用しようとするセキュリティ演習です。このシミュレートされた攻撃の目的は、攻撃者が利用できるシステムの防御の弱点を特定することです。

これは、強盗の格好をして、建物に侵入して金庫にアクセスしようとする銀行を雇うようなものです。「強盗」が成功し、銀行や金庫に侵入した場合、銀行はセキュリティ対策を強化するために必要な情報を得ることができます。

侵入テストが重要な理由は?

侵入テストは、組織が通常では発見できなかったシステムの脆弱性や欠陥を発見するのに役立ちます。侵入テストによって特定された脆弱性を修正することで、攻撃が始まる前に阻止することができます。

侵入テストとコンプライアンス

侵入テストにより機密データが流出する方法を見つけることで、企業のデータセキュリティやプライバシー規制の遵守に役立ちます。これにより、データの安全性と機密性を保つことができ、本来権限のない人物が機密データを閲覧することがないようにすることができます。

侵入テストは、一部のデータ規制でも実施することが義務付けられています。たとえば、PCI DSSバージョン4.0のセクション11.4では、組織が侵入テストを実施することを要求しています。

セキュリティの改善
「トップ10」の攻撃手法からの防御

侵入テストを実行するのは誰ですか?

システムを構築した開発者が見逃した盲点を発見できる可能性があるため、システムのセキュリティ保護方法についてほとんど事前知識のない人が侵入テストを実施することをお勧めします。このため、通常、外部の請負業者がテストを実施するために持ち込まれます。これらの請負業者は、許可を得てセキュリティを強化する目的でシステムにハッキングするために雇われているため、「倫理的ハッカー」と呼ばれることがよくあります。

多くの倫理的ハッカーは、高度な学位と侵入テストの認定を受けた経験豊富な開発者です。一方、最高の倫理的ハッカーの一部は独学者です。実際、改革された犯罪ハッカーの中には、セキュリティの欠陥を悪用するのではなく修正するために専門知識を活用している人もいます。侵入テストを実施するのに最適な候補者は、対象企業と開始する侵入テストのタイプによって大きく異なります。

ホワイトペーパー
PCI DSS 4.0への戦略的アプローチ

侵入テストのタイプとは?

  • オープンボックス侵入テスト - オープンボックステストでは、標的企業のセキュリティ情報に関する情報が事前にハッカーに提供されます。
  • クローズドボックス侵入テスト - 「シングルブラインド」テストとも呼ばれ、ハッカーに標的の企業の名前以外の背景情報が与えられずに行われるテストです。
  • 隠密侵入テスト - 「二重盲検」侵入テストとも呼ばれ、攻撃に対応するITおよびセキュリティの専門家を含み、侵入テストが行われていることを社内の誰も認識していない状況です。隠密テストでは、法執行機関の問題を回避するために、ハッカーはテストの範囲やその他の詳細を事前に書面で把握しておくことが特に重要です。
  • 外部侵入テスト - 外部テストでは、倫理的ハッカーはWebサイトや外部ネットワークサーバーなど、企業の外部に面したテクノロジーに対抗します。場合によっては、ハッカーが会社の建物に入ることさえ許可されない場合があります。これは、遠隔地から攻撃を行うか、近くに駐車したトラックまたはバンからテストを実行することを意味します。
  • 内部侵入テスト - 内部テストでは、倫理的ハッカーが会社の内部ネットワークからテストを実行します。この種のテストは、不満を抱いている従業員が会社のファイアウォールの背後からどれだけの損害をもたらすことができるかを判断するのに役立ちます。

典型的な侵入テストはどのように実行されますか?

侵入テストは偵察の段階から始まり、この段階では、倫理的ハッカーは、シミュレートされた攻撃の計画に使用するデータと情報の収集に時間を費やします。その後、焦点は標的のシステムへのアクセスの獲得と維持になります。これには幅広い種類のツールが必要です。

攻撃用のツールには、総当たり攻撃またはSQLインジェクションを生成するように設計されたソフトウェアが含まれます。ハッカーにネットワークへのリモートアクセスを提供するためにネットワーク上のコンピューターに接続できる小さな目立たないボックスなど、侵入テスト専用に設計されたハードウェアもあります。さらに、倫理的ハッカーはソーシャルエンジニアリング手法を使用して脆弱性を見つけることができます。たとえば、会社の従業員にフィッシングメールを送信したり、配達人を装って建物に物理的にアクセスしたりすることもあります。

ハッカーはトラックを覆うことでテストを終了します。これは、組み込みハードウェアを取り外して、検出を回避し、標的のシステムを正確に見つけたままにするためにできる限り他のことを行うことを意味します。

侵入テストの直後には何が起こりますか?

侵入テストの完了後、倫理的ハッカーは調査結果を標的の企業のセキュリティチームと共有します。その後、この情報を使用してセキュリティアップグレードを実装し、テスト中に発見された脆弱性を補います。

Webアプリの場合、これらのアップグレードには、レート制限、新しいWAFルール、DDoS軽減、およびより厳密なフォーム検証とサニタイズを含めることができます。内部ネットワークの場合、これらのアップグレードには、セキュアWebゲートウェイの導入や、Zero Trustセキュリティモデルへの移行が含まれます。倫理的ハッカーがソーシャルエンジニアリング戦術を使用してシステムに侵入した場合、企業は従業員の教育や、ラテラルムーブメントを防ぐためにアクセス制御システムの調査とアップグレードを検討するかもしれません。

Cloudflareは、WebアプリケーションのセキュリティソリューションZero Trustセキュリティプラットフォームを組み合わせて、企業のアプリケーション、ネットワーク、ユーザーを保護します。