侵入テストでは、企業のセキュリティインフラストラクチャに対して計画された攻撃をスケーリングする倫理的なハッカーが関与し、修正が必要なセキュリティの脆弱性を探し出します。侵入テストは、総合的なセキュリティ戦略の一部です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
侵入テスト(またはペンテスト)は、サイバーセキュリティの専門家がコンピューターシステムの脆弱性を見つけて悪用しようとするセキュリティ演習です。このシミュレートされた攻撃の目的は、攻撃者が利用できるシステムの防御の弱点を特定することです。
これは、強盗の格好をして、建物に侵入して金庫にアクセスしようとする銀行を雇うようなものです。「強盗」が成功し、銀行や金庫に侵入した場合、銀行はセキュリティ対策を強化するために必要な情報を得ることができます。
侵入テストは、組織が通常では発見できなかったシステムの脆弱性や欠陥を発見するのに役立ちます。侵入テストによって特定された脆弱性を修正することで、攻撃が始まる前に阻止することができます。
侵入テストにより機密データが流出する方法を見つけることで、企業のデータセキュリティやプライバシー規制の遵守に役立ちます。これにより、データの安全性と機密性を保つことができ、本来権限のない人物が機密データを閲覧することがないようにすることができます。
侵入テストは、一部のデータ規制でも実施することが義務付けられています。たとえば、PCI DSSバージョン4.0のセクション11.4では、組織が侵入テストを実施することを要求しています。
システムを構築した開発者が見逃した盲点を発見できる可能性があるため、システムのセキュリティ保護方法についてほとんど事前知識のない人が侵入テストを実施することをお勧めします。このため、通常、外部の請負業者がテストを実施するために持ち込まれます。これらの請負業者は、許可を得てセキュリティを強化する目的でシステムにハッキングするために雇われているため、「倫理的ハッカー」と呼ばれることがよくあります。
多くの倫理的ハッカーは、高度な学位と侵入テストの認定を受けた経験豊富な開発者です。一方、最高の倫理的ハッカーの一部は独学者です。実際、改革された犯罪ハッカーの中には、セキュリティの欠陥を悪用するのではなく修正するために専門知識を活用している人もいます。侵入テストを実施するのに最適な候補者は、対象企業と開始する侵入テストのタイプによって大きく異なります。
侵入テストは偵察の段階から始まり、この段階では、倫理的ハッカーは、シミュレートされた攻撃の計画に使用するデータと情報の収集に時間を費やします。その後、焦点は標的のシステムへのアクセスの獲得と維持になります。これには幅広い種類のツールが必要です。
攻撃用のツールには、総当たり攻撃またはSQLインジェクションを生成するように設計されたソフトウェアが含まれます。ハッカーにネットワークへのリモートアクセスを提供するためにネットワーク上のコンピューターに接続できる小さな目立たないボックスなど、侵入テスト専用に設計されたハードウェアもあります。さらに、倫理的ハッカーはソーシャルエンジニアリング手法を使用して脆弱性を見つけることができます。たとえば、会社の従業員にフィッシングメールを送信したり、配達人を装って建物に物理的にアクセスしたりすることもあります。
ハッカーはトラックを覆うことでテストを終了します。これは、組み込みハードウェアを取り外して、検出を回避し、標的のシステムを正確に見つけたままにするためにできる限り他のことを行うことを意味します。
侵入テストの完了後、倫理的ハッカーは調査結果を標的の企業のセキュリティチームと共有します。その後、この情報を使用してセキュリティアップグレードを実装し、テスト中に発見された脆弱性を補います。
Webアプリの場合、これらのアップグレードには、レート制限、新しいWAFルール、DDoS軽減、およびより厳密なフォーム検証とサニタイズを含めることができます。内部ネットワークの場合、これらのアップグレードには、セキュアWebゲートウェイの導入や、Zero Trustセキュリティモデルへの移行が含まれます。倫理的ハッカーがソーシャルエンジニアリング戦術を使用してシステムに侵入した場合、企業は従業員の教育や、ラテラルムーブメントを防ぐためにアクセス制御システムの調査とアップグレードを検討するかもしれません。
Cloudflareは、WebアプリケーションのセキュリティソリューションとZero Trustセキュリティプラットフォームを組み合わせて、企業のアプリケーション、ネットワーク、ユーザーを保護します。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集