セキュリティのチェックができるペネトレーションテストとは何か【その2】

セキュリティのチェックができるペネトレーションテストとは何か【その2】のアイキャッチイメージ

セキュリティチェックのひとつであるペネトレーションテスト。
ネットワークに接続されたコンピューターの安全性を調査するために行われるテストですが、今回は具体的なペネトレーションテストの方法やテストの種類についてご紹介します。

ペネトレーションテストの3つの流れ

ペネトレーションテストには主に3つの流れがあります。

1.事前準備

まずペネトレーションテストを行うために、必要な情報を準備します。
ヒアリングシートに記入したり、打ち合わせなどを行ったりする場合もあります。
システムの構成情報やネットワーク情報などを確認します。

2.侵入糸口の調査

次に侵入の糸口となる脆弱性の調査を行います。
ひとつだけでなく、複数の弱点から目的を果たす突破口を発見します。
ツールによって重点箇所を絞り込んだり、セキュリティエンジニアが手動で調査を行ったりします。

3.侵入調査

ターゲットへつながる経路をあぶりだします。
最も効率的な方法でアプローチすることで、解決策を見つけていきます。
具体的にはフィルタリング回避やパスワード解析、辞書攻撃などを行います。

侵入糸口の調査や侵入調査はリモートとオンラインの両方に対応し、稼働中のシステムを調べる場合は負荷がかからないようにします。
そしてテスト結果をまとめた報告書を作成して終了です。

テストの方法4種類

セキュリティのチェックができるペネトレーションテストとは何か【その2】のイメージ

ペネトレーションテストの方法には大きく分けて4種類の方法があります。

ホワイトボックステスト

システムの内部を把握し、顧客の要望に合わせてペネトレーションテストを行います。

ブラックボックステスト

システム内部は考慮せずに、外部から把握できる機能を検証します。

外部ペネトレーションテスト

システムの外部から攻撃されることを想定したテストを行います。

内部ペネトレーションテスト

システムの内部が既に攻撃さていることを想定してテストを行います。

一般的にホワイトボックステストとブラックボックステストを組み合わせて行われることが多いです。
またあらかじめ攻撃手段をある程度想定しておいてからテストを行う場合もあります。
そして報告書で攻撃が成功した場所や回数、経路などをまとめます。

まとめ

ペネトレーションテストはシステムのセキュリティチェックをする上でぜひ取り入れたいテストです。
システムの運用を行う前に問題をはっきりさせ、どのような損失が出る可能性があるのかをしっかり見極める意味でも、ペネトレーションテストはとても重要といえるでしょう。

ネットワーク・データベース・クラウド・サーバ案件多数! インフラエンジニアの転職なら「FEnet インフラ」

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。