プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
勝田 嵐士
2023年ユービーセキュア入社。セキュリティコンサルタントとして、ペネトレーションテストサービスとダークウェブ調査サービスの開発・実施、執筆、登壇、コンサルティング業務に従事。趣味は温泉巡りと勉強。
脆弱性診断とペネトレーションテスト、どちらか一方じゃだめですか?
勝田さんこんにちは!今日のテーマは「脆弱性診断とペネトレーションテスト」だそうですが、このテーマは前にも教わったミア。
勝田さん
そうそう、脆弱性診断とペネトレーションテストの違いについては、もう学んでいましたね。ただ、すでに脆弱性診断を受けている企業においても「ペネトレーションテスト(ペンテスト)も受ける必要があるのか?」という疑問を抱く方も多いようなんです。
たしかに、両方やるとコストも手間もかさみますから、できればどちらかに絞りたい気持ちもわかるミア。
勝田さん
「脆弱性診断だけで十分!」と言えたらよいのですが……というわけで、今回はなぜペネトレーションテストが必要なのか、その理由に焦点を当てて解説しますね。
脆弱性診断とペネトレーションテストの違い
勝田さん
まずは、脆弱性診断とペネトレーションテストの違いについておさらいしましょう。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | システムやネットワークの 脆弱性を網羅的に検出することで、 脆弱性の修正につなげること |
脆弱性単体の存在有無ではなく、 システム環境全体に対して脆弱性(設定不備、仕様を含む)が 及ぼす影響を総合的に評価・監査し、リスクを特定することで 結果としてセキュリティ対策の改善につなげること |
| 方法 | 自動化ツールを使用して既知の 脆弱性をスキャンし、検出結果を報告 |
専門家が実際のサイバー攻撃を模した攻撃シミュレーションを行い、 過程で発見した脅威について報告(脅威とは、悪用可能な脆弱性のこと) |
| 範囲 | 広範囲に対して網羅的な診断が可能だが、 システムやネットワークを単体で検査 |
事前の打ち合わせで決定した攻撃シナリオに従い、 システムの深くまで侵入を目指すため、狭く深く検査 |
勝田さん
脆弱性診断とペネトレーションテストの違いの具体例
例えば、ECサイトがあった場合、脆弱性診断の場合はSQLインジェクションの存在を確認します。しかし、ペネトレーションテストではSQLインジェクションを使ってどのような情報が窃取できるのかといった観点で確認します。
勝田さん
このように、攻撃の深度が異なりますので、検査する観点も異なることとなります。サーバーやアプリケーション単体の脆弱性を網羅性に検査できるという観点では脆弱性診断に軍配が上がりますし、サイバーキルチェーンの網羅性の観点ではペネトレーションテストが優位でしょう。
そう、それぞれ得意なことが違うミア。だんだん思い出してきた……!
ペネトレーションテストの目的
では、脆弱性診断とペネトレーションテストの違いを理解したうえで、ペネトレーションテストの目的やメリットについて見ていきましょう。
1. コンプライアンス遵守
PCI DSS(クレジットカード決済システム向けセキュリティ基準)やGDPR(EU周辺国に適用される法律)などの規制を含む、多くの業界で定期的なペネトレーションテストを実施することが義務付けられています。これらの規制は個人の利益を守るため、企業に対して顧客情報や個人データを適切に保護することを要求しています。コンプライアンス遵守は顧客の信頼を得るための重要な要素でもあります。
なるほど、脆弱性診断を行っているかどうかにかかわらず「ペネトレーションテストを行わなければならない」ケースもあるわけミア。
勝田さん
そうなんです。こうしてコンプライアンス遵守にも使われるため、ペネトレーションテストの実施が必須とされていない企業においても、リスク評価として活用されることが増えてきました。
2. 実際のリスクを評価する
ペネトレーションテストは、発見された脆弱性が実際にどの程度の脅威・リスクを持つのかを評価します。仮に特定の脆弱性が存在する場合でも、その脆弱性が実際に攻撃に利用される可能性(脅威)や、利用された場合の影響範囲(リスク)を具体的に把握できます。
ふむふむ。「弱いところがある」だけじゃなくて、「どれくらい攻撃を受けやすいか」までわかるミア。具体的にはどんなふうに評価するミア?
勝田さん
脆弱性診断では、主に個々の脆弱性を単体として評価し、ランク分けを行いますが、複数の脆弱性が組み合わさった際の分析が限定的です。一方で、ペネトレーションテストでは、複数の脆弱性が連携して実際にどのように攻撃に利用されるか、より具体的かつ詳細に評価できます。これにより、脆弱性対応の優先順位を正確に決定し、効率的な対策を講じることができます。
リスク評価を通じて企業は、自社が許容できるリスクの度合いを理解し、そこに基づくセキュリティ戦略を策定できるため、企業はリソースを効果的に配分し、最も重要な資産を優先的に保護することが可能となります。
「どのくらい怖いリスクなのか」、「どのリスクから対策を取るべきか」が具体的にわかるのは大事ミア!
勝田さん
3. 診断では検出できない「総合的な脆弱性」の検出が可能
一般的な脆弱性診断は、システム単体における既知の脆弱性を、ツールを使って洗い出すことを目的としています。ユービーセキュアの脆弱性診断では、これに加えて専門の技術者による追加検査を実施します。
プロの追加検査まであるミア!そこまでやるなら、脆弱性診断だけで大丈夫なのでは?
勝田さん
そう言ってもらえるのはうれしいですが(笑)、やっぱりペネトレーションテストも必要なんです。ペネトレーションテストは、構築されたシステム環境そのものの脆弱性を、実際の攻撃シナリオを再現してシステムに侵入を試みることで検出します。これにより、システム単体の脆弱性診断では見つからなかった脆弱性や、複数の脆弱性が連携して起こる複雑な攻撃を検出可能です。
ペネトレーションテストでは、攻撃者を模倣してシステムへの侵入を目指すため、攻撃者がどのような経路を辿り、どのような脆弱性を利用するのかを具体的に把握・理解することができます。この情報を使い、システム全体の防御力を強化するための効果的な対策をしましょう。
攻撃の手口を詳細に知ることで、対策もより具体的になるミア。
勝田さん
4. セキュリティ意識の向上
ペネトレーションテストは、システムやネットワークを技術的に評価するだけでなく、従業員のセキュリティ意識を底上げする効果もあります。実際の攻撃シナリオを体験することで、従業員がセキュリティの重要性を再認識し、セキュリティポリシーやベストプラクティスに従う意識が向上するため、組織全体でセキュリティ文化を育むことができます。
また、セキュリティ担当者が別の人に代われば、セキュリティ意識も変わります。そのため、企業が常に高いセキュリティレベルを維持し、サイバー攻撃から自社を守るためには、定期的なペネトレーションテストの実施が重要です。
定期的にテストをすることで「これほどまでに重要なのか」という意識も育つ。システムのためだけでなく、人のための対策でもあるミア!
脆弱性診断とペネトレーションテストで包括的なセキュリティ対策を
勝田さん
このとおり、ペネトレーションテストを実施することには、脆弱性診断ではカバーしきれない多くのメリットがあります。ペネトレーションテストを単なる脆弱性検査のオプションと考えず、「脆弱性診断を踏まえたうえで行う実戦的なリスク評価・監査」と捉えるとイメージが湧きやすいでしょう。
そうそう、お互いを補い合うような関係なのですよね。セキュリティシステムでは、「組み合わせ」や「補い合い」がとても重要と学んできたミア!今日はいろいろ教えてくれてありがとミア!
勝田さん
脆弱性診断とペネトレーションテスト、両方を組み合わせて実施することで、互いのメリットを生かし、包括的なセキュリティ対策を講じることができます。サイバー攻撃のリスクを最小限に抑えて顧客の信頼を守り、企業の持続的な成長につなげていきましょう!
