タグ
セキュリティ

ペネトレーション・テストの方法論と標準

サーバー・コントロール・ルームでノートPCを一緒に見ている若い男性と年配の男性

オンライン空間は急速に拡大し続けており、コンピューター・システムやネットワーク、またはWebアプリケーション内でサイバー攻撃が発生する機会が増えています。このようなリスクを軽減し、備え、攻撃者が利用する可能性のあるセキュリティーの脆弱性を見つけるために、ペネトレーション・テストが欠かせません。

侵入テストとは何ですか?

ペネトレーション・テスト、または「侵入テスト」は、実際のサイバー攻撃を模擬するために実行されるセキュリティー・テストです。サイバー攻撃には、フィッシング攻撃やネットワーク・セキュリティー・システムの侵害が含まれる場合があります。組織では、必要なセキュリティー対策に応じてさまざまな種類のペネトレーション・テストを実行できます。テストは、特定の行動方針またはペネトレーション・テスト手法の観点から、手動で実行することも、オートメーション・ツールを使用して実行することも可能です。

ペネトレーション・テストが重要な理由とテスト実施の関係者

倫理的ハッキング」と「ペネトレーション・テスト」という用語は互換的に使用されることがありますが、これら2つは同じではありません。倫理的ハッキングは、ネットワーク上のセキュリティーを強化するためのハッキング・スキルの使用を含む、より広範なサイバーセキュリティー分野を指します。ペネトレーション・テストは、倫理的ハッキングの実行者が使用する手法の1つにすぎません。倫理的なハッカーは、危害を加えるのではなく、セキュリティー上の弱点を発見して修正するために、マルウェア分析、リスク評価、その他のハッキングツールやテクニックを提供することもあります。

IBMの2023年版 データ侵害のコストに関する調査 によると、2023年の世界の平均データ侵害コストは445万ドルで、過去3年間で15%増加しています。こうした侵害を軽減する 1 つの方法は、正確かつ的確なペネトレーション・テストを実行することです。

企業はペネトレーション・テストの実施者を雇い、アプリケーション、ネットワーク、その他の資産に対して模擬攻撃を開始します。実施者が偽の攻撃を仕掛けることで、セキュリティー・チームは重大なセキュリティー上の脆弱性を発見し、全体的なセキュリティー体制を強化できます。これらの攻撃は、多くの場合、レッド・チーム、つまり攻撃的なセキュリティー・チームによって実行されます。レッド・チームは、セキュリティー・リスクを評価する方法として、組織内のシステムに対して実際の攻撃者の戦術、技術、手順(TTP)を模倣します。

ペネトレーション・テストを実行するに当たり考慮すべきペネトレーション・テスト手法がいくつかあります。組織の選択は、対象組織のカテゴリー、ペネトレーション・テストの目的、およびセキュリティー・テストの範囲によって異なります。すべての企業に最適となるアプローチはありません。ペネトレーション・テストの前に公正な脆弱性分析を行うには、組織がセキュリティーにおける問題とこれに関するポリシーを理解している必要があります。

最も人気のある5つのペネトレーション・テスト・メソッド

ペネトレーション・テストの最初のステップは、どの手法に従うかを決定することです。

以下では、最も人気のある5つのペネトレーション・テストのフレームワークと手法について詳しく説明します。これにより、関係者と組織が特定のニーズに最適な手法を特定することができ、必要なすべての領域をカバーできるようになります。

1. オープンソース・セキュリティー・テスト手法マニュアル

 

オープンソース・セキュリティー・テスト手法マニュアル(OSSTMM)は、ペネトレーション・テストの最も一般的な標準手法の1つです。この手法は、セキュリティー・テスト用にピア・レビューされており、セキュリティー・リサーチ・コミュニティーである、Institute for Security and Open Methodologies(ISECOM)によって作成されました。

この手法は、ペネトレーション・テストに対する科学的なアプローチに基づいており、テスト担当者がアクセスしやすく適応可能なガイドを提供します。OSSTMM手法には、運用上の重点、チャネル・テスト、メトリクス、信頼分析などの主要な機能が含まれています。

OSSTMMは、ペネトレーション・テストの専門家向けにネットワーク・ペネトレーション・テストと脆弱性評価のフレームワークを提供します。これは、プロバイダーが機密データや認証に関する問題などの脆弱性を見つけて解決するためのフレームワークとなることを目的としています。

2. オープンWebアプリケーション・セキュリティー・プロジェクト

 

OWASP(オープンWebアプリケーション・セキュリティー・プロジェクト)は、Webアプリケーションのセキュリティーに特化したオープンソース組織です。

この非営利団体の目標は、Webアプリケーションのセキュリティーを強化したいすべての人が、すべての資料に無料かつ簡単にアクセスできるようにすることです。OWASPには独自のレポート「Top 10」(ibm.com外部へのリンク)があり、これは、クロスサイト・スクリプティング、認証の不備、ファイアウォールの背後への侵入など、Webアプリケーションに対する最大のセキュリティー上の懸念とリスクを最新情報とともに概説しています。OWASPは、「Top 10」のリストをOWASPテスト・ガイドの基礎として使用しています。

このガイドは、Webアプリケーション開発のためのOWASPテスト・フレームワーク、Webアプリケーション・テスト手法、およびレポートの3部構成になっています。Webアプリケーション手法は、Webアプリケーション・ペネトレーション・テスト、モバイル・アプリケーション・ペネトレーション・テスト、APIペネトレーション・テスト、IoTペネトレーション・テストのWebテスト・フレームワークの一部として、または単独で使用できます。

3. ペネトレーション・テストの実行基準

 

PTES(ペネトレーション・テストの実行基準)は、包括的なペネトレーション・テスト手法です。

PTESは情報セキュリティーの専門家チームによって作成され、ペネトレーション・テストのあらゆる側面をカバーする7つの主要セクションで構成されています。PTESでは、組織がペネトレーション・テストに何を期待すべきかを概説し、事前の取り組み段階からプロセス全体にわたってガイドするための技術ガイドラインを提供することを目指しています。

PTESは、ペネトレーション・テストのベースラインとなり、セキュリティー専門家や組織に標準化された手法を提供することを目的としています。このガイドでは、最初から最後までのペネトレーション・テスト・プロセスの各段階におけるベスト・プラクティスなど、さまざまなリソースが提供されています。PTESの主な特徴としては、エクスプロイテーションとポスト・エクスプロイテーションが挙げられます。エクスプロイテーションとは、ソーシャル・エンジニアリングやパスワード・クラッキングなどの侵入手法を通じてシステムにアクセスするプロセスを指します。ポスト・エクスプロイテーションとは、侵害されたシステムからデータが抽出され、アクセスが維持される状態です。

4. 情報システム・セキュリティーの評価フレームワーク

 

情報システム・セキュリティーの評価フレームワーク(ISSAF)は、システム・セキュリティーの非営利団体Information Systems Security Group(OISSG)によってサポートされているペネトレーション・テスト・フレームワークです。

この手法は現時点では情報が更新されていないため、最新情報を得るための最良の情報源ではない可能性があります。ただし、その主な強みの 1 つは、個々のペネトレーション・テスト手順を特定のペネトレーション・テスト・ツールにリンクできることです。これは、個別の手法を作成するための優れた基盤となります。

5. 米国国立標準技術研究所

 

米国国立標準技術研究所(NIST)は、連邦政府や外部の組織が従うべき一連のペネトレーション・テスト標準を提供するサイバーセキュリティー・フレームワークです。NISTは米国商務省内の一機関であり、従うべき最低限の基準とみなされます。

NISTペネトレーション・テストは、NISTガイダンスに準拠しています。このようなガイダンスに準拠するには、組織は事前に決められた一連のガイドラインに従ってペネトレーション・テストを実行する必要があります。

ペネトレーション・テストの各段階

範囲を設定する

 

ペネトレーション・テストを開始する前に、テスト・チームと会社はテストの範囲を設定します。この範囲では、どのシステムがテストされるのか、いつテストが行われるのか、ペネトレーション・テストの実施者が使用できる方法が概説されます。テスト範囲は、ペネトレーション・テストの実施者が事前にどの程度の情報を取得できるかも決定します。

テストを開始する

 

次のステップは、スコープ計画をテストし、脆弱性と機能性を評価することです。このステップでは、ネットワークと脆弱性のスキャンを実行して、組織のインフラストラクチャーをより深く理解することができます。組織のニーズに応じて、内部テストと外部テストを実行できます。ペネトレーション・テストの担当者が実行できるテストには、ブラック・ボックス・テスト、ホワイト・ボックス・テスト、グレー・ボックス・テストなどさまざまなものがあります。それぞれが、対象システムに関するさまざまなレベルの情報を提供します。

ネットワークの概要が確立されると、テスト担当者は指定された範囲内でシステムとアプリケーションの分析を開始できます。このステップでテストの担当者、は誤った構成を把握するために、できるだけ多くの情報を収集します。

調査結果のレポート

 

最後のステップは報告と報告です。このステップでは、特定された脆弱性を概説した、ペネトレーション・テストからのすべての調査結果を含むペネトレーション・テストのレポートを作成することが重要です。報告書には、緩和計画と、修復が行われない場合の潜在的なリスクを含める必要があります。

ペネトレーション・テストとIBM

すべてをテストするのは、時間、予算、リソースの無駄となります。そこで、履歴データを備えたコミュニケーションおよびコラボレーション用プラットフォームを使用することで、リスクの高いネットワーク、アプリケーション、デバイス、その他の資産を一元化、管理、優先順位付けして、セキュリティー・テスト・プログラムを最適化します。X-Force Redポータルを使用すると、修復に関わるすべての担当者が脆弱性特定直後に行われたテスト結果を確認し、都合に合わせてセキュリティー・テストをスケジュールできるようになります。

著者

Teaganne Finn

Staff Writer

IBM Think

X-Forceのペネトレーション・テストのデモを見る X-Forceのネットワーク・ペネトレーション・テスト・サービスの詳細はこちら