ペネトレーションテストは、どのように依頼すればよいのか?
〜イエラエセキュリティ 脅威動向レポート 第5回 診断を依頼するタイミングとは〜
セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。
ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第5回目は、イエラエセキュリティ 高度解析課 三村聡志氏と、イエラエセキュリティ ペネトレーションテスト課でさまざまなペネトレーションテストを担当しつつ、「ハッカーの学校 ハッキング実験室」「ハッカーの学校 IoTハッキングの教科書」「ハッカーの技術書」の著書を持つ村島正浩が、ペネトレーションテストはどのようなタイミングで依頼すればよいのかについて語ります。
※この記事は、2021年8月20日に公開されたYouTube動画を元に記事化しています。
ペネトレーションテストを初めて依頼するときは?
三村聡志(以下、三村):ペネトレーションテストを初めて依頼するお客様、自社のシステムをより安全にしたいと考えて「我社でもやってみよう」と考えられたお客様はペネトレーションテストをどのように依頼すればよいのでしょうか。ペネトレーションテストへの“第一歩への踏み出し方”のようなものはあるのでしょうか。Web診断テストとの違いなどを含めて教えてください。
増えているWi-Fiのチェック
村島:ペネトレーションテストを初めて実施するというお客様の事例はいくつかあります。例えば最近は、Wi-Fiのセキュリティをテストしたいというご要望をいただくことが多くなっています。Wi-Fiを侵入の初期の入口として想定しているケースです。
その場合、Wi-Fiを見るだけでは不十分です。もちろんWi-Fiのテストだけでも価値はありますが、我々としてはWi-Fiにプラスして、外部から来たお客様が利用する会議室とか、オフィスに入ることができるゲストユーザーを想定して、会議室に有線LANの接続口が設置されていないか。設置されていた場合、そことWi-Fiを足がかりにしてどこまで侵入できるかを診断していくケースもあります。そのほかには、AD(Active Directory)の権限を奪取して、特定のファイルまで到達できるかどうかとか、VPNに侵入できるかなど、いろいろなケースがあります。
進め方はお客様と相談
三村:どういったことが重要なのかなど、ペネトレーションテストの進め方はお客様と相談しながら決めていくということでしょうか。
村島:Webの脆弱性診断は「新しいWebサイトを作ったので診断してほしい」というようにスコープが明確です。一方で、ペネトレーションテストは社内システムへの侵入を図る内部ペネトレーションテストに加えて、外部ペネトレーションテストと呼ばれるもの。つまり、お客様が保有しているグローバルIPでサービスが動いているサーバーはないかなどを探索する案件などもあります。ですので、今、お客様が一番懸念されていることは何かをヒアリングすることろからスタートするケースが多くなっています。「セキュリティに関するニュースを見たが、どこから手をつければよいかわからない」というご相談をいただいて、当社からテストを提案することもあります。
脆弱性診断と併用するケース
三村:新しいWebサイトを作ったときに、最初はWebの脆弱性診断を行って全体的にチェックしてみて、その後、これが攻撃されたら明らかに危ないとか、絶対に守らなければならないデータなどがある場合にはペネトレーションテストを行うというようなケースもあるのでしょうか
村島:Webの脆弱性診断と併用する場合は、リスクをどこまで想定するかがポイントになります。例えば、イベント用の特設サイトを新たに作って、AWSサーバーで運用するような場合、特設サイトのWebの脆弱性診断に加えて、運用を委託している外注先の会社の端末に侵入されたケースを想定して、外注先は特定権限しか持っていないけれど、その権限でどこまで侵入できるかなどを確認することはあります。
逆に質問ですが、三村さんがIoTのペネトレーションテストを実施するときは、お客様に「まず、ハードウェアとファームウェアの情報をください」とリクエストしますか? 製品・サービスを“ブラックボックス”として診断して欲しいというケースもありますよね?
三村:外部から攻撃を受けて、どうなったらいけないのか。何をされてはいけないのか。あるいは逆に、ここまではOKというラインはどこなのかをヒアリングしたうえで、守らなければならない部分を破られないようにするにはどうすればよいか、という視点で診断を進めていきます。
村島:スタンスは同じですね。お客様が「こういうテストをやりたい」とおっしゃっても、「お客様の環境であれば、こちらのテストがおすすめです」と提案させていただくこともあります。お客様によって事業内容はまったく異なっています。Web関連の子会社をグループに持っておられるお客様もあれば、そうしたグループ会社を持たず、単一の事業体でビジネスされているお客様もおられます。システムをデータセンターに置いているお客様もおられます。そうしたさまざまな環境で、一番効果が期待できるペネトレーションテストの方法や進め方を提案させていただいています。
インシデント対応後の再テスト
村島:過去にあったユニークなお問い合わせ、案件スタートの事例としては、攻撃者に不正アクセスされて、インシデント対応はすでに終わっているけれど、再び、同様の被害が起こり得るかどうかを改めて調査した事例がいくつかあります。
三村:攻撃を受けたお客様が、同じ攻撃についての調査を依頼してこられたのですか?
村島:実際に同じ攻撃になるかどうかはわかりませんが、サーバーから情報が奪取されたことはわかっている。なのでペネトレーションテストのゴールとしては、お客様が初期感染した端末を選び、そこからサーバーに置かれているファイルが奪取できるか、権限が奪取できるかを診断してほしいという依頼でした。
三村:その場合、ゴールはサーバーと決まっていますが、そこに至る方法などは決められているのですか?
村島:「この脆弱性が利用された痕跡があったので、その脆弱性だけを使ってほしい」というようなルールはありません。すでにインシデント対応は終わっているものの、その一方で現行の運用環境・体制で、同じような攻撃が再度起こり得る可能性があるのかどうかを株主や役員に説明する必要がある。そうしたニーズからペネトレーションテストを活用していただきました。
三村:検証という目的と、対応が終わってハードモードになったあとの調査という2つの意味があるのですね。
お客様によってさまざまなペネトレーションテスト
村島:ペネトレーションテストの面白いところは、お客様のご要望に応じてさまざまに変化することです。インシデントが起きて、対策は行ったけれど、また起きないかどうかを診断してほしいとか、EDR(Endpoint Detection and Response)を導入して、ログを保存するようになっているが、攻撃者に侵入されて、攻撃を受けた際に、実際に検知できるようになっているかチェックしてほしいという依頼もあります。ログが取れているかどうかなどは、ペネトレーションテストの範囲ではない部分もあるので、フォレンジック業務を行っているエンジニアに協力してもらいながら進めることもあります。
三村:そうした観点で仕事を進められると面白いですね。
ペネトレーションテストはイエラエへ
村島:ペネトレーションテストは、単純にシナリオゴールを設定して「用意、スタート!」というものではなく、お客様によって、案件の内容は変わってきます。イライエのペネトレーションテストはお客様の想定脅威を確認し、標的型攻撃(疑似マルウェア型)、Webペネトレーションテスト、OSINT、物理環境、調査特化型など、最適なプランをご提案します。
