侵入テストとは?| ペンテストとは?

侵入テストでは、企業のセキュリティインフラストラクチャに対して計画された攻撃をスケーリングする倫理的なハッカーが関与し、修正が必要なセキュリティの脆弱性を探し出します。侵入テストは、総合的なWebアプリケーションセキュリティ戦略の一部です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 侵入テスト(ペンテスト)の定義
  • 侵入テストのプロセスの概要
  • 侵入テストを使用して新しいセキュリティ機能を推奨する方法を説明

記事のリンクをコピーする

侵入テストとは?

侵入テスト(またはペンテスト)は、サイバーセキュリティの専門家がコンピューターシステムの脆弱性を見つけて悪用しようとするセキュリティ演習です。このシミュレートされた攻撃の目的は、攻撃者が利用できるシステムの防御の弱点を特定することです。

これは、強盗の格好をして、建物に侵入して金庫にアクセスしようとする銀行を雇うようなものです。「強盗」が成功し、銀行や金庫に侵入した場合、銀行はセキュリティ対策を強化するために必要な情報を得ることができます。

侵入テストを実行するのは誰ですか?

システムを構築した開発者が見逃した盲点を発見できる可能性があるため、システムのセキュリティ保護方法についてほとんど事前知識のない人が侵入テストを実施することをお勧めします。このため、通常、外部の請負業者がテストを実施するために持ち込まれます。これらの請負業者は、許可を得てセキュリティを強化する目的でシステムにハッキングするために雇われているため、「倫理的ハッカー」と呼ばれることがよくあります。

多くの倫理的ハッカーは、高度な学位と侵入テストの認定を受けた経験豊富な開発者です。一方、最高の倫理的ハッカーの一部は独学者です。実際、改革された犯罪ハッカーの中には、セキュリティの欠陥を悪用するのではなく修正するために専門知識を活用している人もいます。侵入テストを実施するのに最適な候補者は、対象企業と開始する侵入テストのタイプによって大きく異なります。

侵入テストのタイプとは?

  • オープンボックス侵入テスト - オープンボックステストでは、標的企業のセキュリティ情報に関する情報が事前にハッカーに提供されます。
  • クローズドボックス侵入テスト - 「シングルブラインド」テストとも呼ばれ、ハッカーに標的の企業の名前以外の背景情報が与えられずに行われるテストです。
  • 隠密侵入テスト - 「二重盲検」侵入テストとも呼ばれ、攻撃に対応するITおよびセキュリティの専門家を含み、侵入テストが行われていることを社内の誰も認識していない状況です。隠密テストでは、法執行機関の問題を回避するために、ハッカーはテストの範囲やその他の詳細を事前に書面で把握しておくことが特に重要です。
  • 外部侵入テスト - 外部テストでは、倫理的ハッカーはWebサイトや外部ネットワークサーバーなど、企業の外部に面したテクノロジーに対抗します。場合によっては、ハッカーが会社の建物に入ることさえ許可されない場合があります。これは、遠隔地から攻撃を行うか、近くに駐車したトラックまたはバンからテストを実行することを意味します。
  • 内部侵入テスト - 内部テストでは、倫理的ハッカーが会社の内部ネットワークからテストを実行します。この種のテストは、不満を抱いている従業員が会社のファイアウォールの背後からどれだけの損害をもたらすことができるかを判断するのに役立ちます。

典型的な侵入テストはどのように実行されますか?

侵入テストは偵察の段階から始まり、この段階では、倫理的ハッカーは、シミュレートされた攻撃の計画に使用するデータと情報の収集に時間を費やします。その後、焦点は標的のシステムへのアクセスの獲得と維持になります。これには幅広い種類のツールが必要です。

攻撃用のツールには、総当たり攻撃またはSQLインジェクションを生成するように設計されたソフトウェアが含まれます。ハッカーにネットワークへのリモートアクセスを提供するためにネットワーク上のコンピューターに接続できる小さな目立たないボックスなど、侵入テスト専用に設計されたハードウェアもあります。さらに、倫理的ハッカーはソーシャルエンジニアリング手法を使用して脆弱性を見つけることができます。たとえば、会社の従業員にフィッシングメールを送信したり、配達人を装って建物に物理的にアクセスしたりすることもあります。

ハッカーはトラックを覆うことでテストを終了します。これは、組み込みハードウェアを取り外して、検出を回避し、標的のシステムを正確に見つけたままにするためにできる限り他のことを行うことを意味します。

侵入テストの直後には何が起こりますか?

侵入テストの完了後、倫理的ハッカーは調査結果を標的の企業のセキュリティチームと共有します。その後、この情報を使用してセキュリティアップグレードを実装し、テスト中に発見された脆弱性を補います。これらのアップグレードには、レート制限、新しいWAFルール、DDoS軽減、およびより厳密なフォーム検証とサニタイズを含めることができます。