ネットワーク・ペネトレーション・テストは、倫理的ハッキングの実践を通じて企業のコンピューター・ネットワーク全体を特にターゲットとするペネトレーション・テスト(または「ペン・テスト」)の種類の一つです。
ネットワーク・ペネトレーション・テストの目的は、組織内の脆弱性を明らかにして特定することです。これには、Webアプリケーションのテストや疑似フィッシング攻撃などの外部テストや内部テストを通じて、ネットワーク・セキュリティー対策の詳細な評価を行うことが含まれます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ネットワーク・ペネトレーションの仕組みは、エシカル・ハッカー、つまりレッド・チームがハッキング・ツールと技術を使用して、組織のコンピューター・システムに対して疑似サイバー攻撃を行うことです。目的は、組織のファイアウォールの背後に侵入し、不正アクセスを取得することです。
ネットワーク・ペネトレーション・テストには、Webアプリケーション、API、エンドポイント、物理的コントロールへの攻撃が含まれる場合があります。オペレーティング・システムに対する攻撃をシミュレーションすると、セキュリティーの弱点が明らかになり、組織のどこに弱点があるかがわかります。
偽の攻撃は、セキュリティー・チームがネットワーク・インフラストラクチャーに関連するセキュリティーの脆弱性を発見するのに役立ちます。テストできる一般的な脅威には、分散型サービス妨害(DDos)攻撃、ドメイン・ネーム・システム(DNS)、マルウェア、フィッシング、SQLインジェクションなどがあります。
テスターはツールを使用して偵察を実施し、ペン・テスト・プロセスを自動化します。多くの場合、内部テストと外部テストの2種類のテストが使用されます。
内部ネットワーク・テスト:内部テストでは、ペネトレーション・テストの実施者は内部攻撃者、または盗まれた認証情報を使用して悪意のある行為を実行しようとする可能性のある人物として機能します。このタイプのテストの主な目的は、個人または従業員が組織内で利用する可能性のある脆弱性を見つけることです。これは、情報を盗み、個人データや機密データにアクセスする権限を悪用することで行われます。
外部ネットワーク・テスト:外部ネットワーク・ペネトレーション・テスト・サービスは、ネットワークに侵入しようとする外部の攻撃者を模倣することを目的としています。これらのペネトレーション・テストの実施者は、サーバー、ルーター、Webサイト、アプリケーション、従業員のコンピューターなど、オープンソースのリスクであるインターネットに直接接続されているセキュリティー上の問題を見つけ出します。
多くの場合、ネットワーク・ペネトレーション・テストは4つの特定のステップに従います。テストは、ビジネス・リスクとリスクの結果を詳細に分析したネットワーク・ペン・テスト・レポートで終了します。
この第1フェーズでは、倫理的ハッカーが主要な利害関係者と、テストの目的全体と、組織が特定した脆弱性について話し合います。ペン・テストを行う前に、脆弱性評価を行う必要があります。
そこから、ペネトレーション・テストの実施者や利害関係者がテストを実行するかどうか、そして使用する予定の成功指標を決定します。テスターは、ポートスキャンやネットワークマッピング(nmap)など、いくつかの異なるツールや手法を使用して偽の攻撃を実行します。
一般的に使用されるテスト・パースペクティブは、3種類あります。組織に応じて、これらを個別に使用することも、ここに、または組み合わせて使用することもできます。
ブラックボックス・テスト: 「ブラックボックス」テストでは、ネットワークに関する内部知識が不足している平均的なハッカーのアプローチをシミュレートします。このタイプのテストは、ネットワーク内の外向きの脆弱性を使用することが目的であるため、外部ペン・テストになります。
グレーボックス・テスト:この種類のネットワーク・ペネトレーション・テストは、内部にさらに焦点を当てており、内部システムにアクセスできるハッカーを模倣することを目的としています。同時に、外部ハッカーの一部の側面を維持しています。グレーボックス・テストは、悪意のある方法で使用されている昇格された特権を持っている可能性のある組織内の悪意のある行為者を対象としています。
ホワイトボックス・テスト:最後に、ホワイトボックス・テストは、3つのセキュリティー・テストの種類の中で最も侵入型です。このテストは、ITスペシャリストまたは組織のソースコードとシステムに関するすべての考えられるデータにアクセスできる人物を模倣するために実行されます。このテストは通常、ITアーキテクチャーの整合性をテストするために最後に実行されます。さらに、ターゲット・システムへのハッカーやサイバー攻撃の可能性を確実に阻止します。
偵察と発見のフェーズでは、ペネトレーション・テストの実施者が偵察からデータを取得してライブ・テストを行い、ソーシャル・エンジニアリングなどの戦術を通じて既存の脆弱性を発見します。ペンテスターは、詐欺的なツールを使って個人を操作して情報を共有させることで、弱点がどこにあるのかを見つけ出し、それらの脆弱性を狙います。
発見ステップでは、ペンテスターはポート・スキャナーや脆弱性スキャナーなどのツールを使用する場合があります。ポート・スキャナーは、ハッカーが侵入できそうなシステム上の開いているポートを特定し、脆弱性スキャナーはシステム上の既存の脆弱性を特定します。
次のステップでは、これまでに行ったすべての準備作業を実行に移します。このステップでは、ペネトレーション・テストの実施者は、スクリプトを悪用したりデータを盗もうとしたりできるツールを使用して、ネットワーク・ペネトレーション・テストを実行します。その目的は、倫理的ハッカーがどの程度の損害を引き起こす可能性があるかを把握し、アクセスできた場合にシステム内にどのくらいの期間滞在できるかを判断することです。
ペン・テスターは、一度に1つの脆弱性をテストすることから始めることもできますが、これらのセキュリティー・リスクに対処するために広範なアプローチが取られていることを確認するために、複数の脆弱性に対してテストを実行する必要があります。
最後のステップでは、どのようなネットワーク・ペネトレーション・テストが実行されたかを文書化してから、それらの各テストの結果を確認し、修復手順について情報セキュリティー・チームと話し合います。レポートでは、プロセス全体を最初から最後まで詳細に説明し、組織に対する脆弱性、証拠、データ、推奨事項を特定します。
このレポートは、ビジネス・オーナーが、特定されたリスクの全体像と、情報に基づいた意思決定をさらに支援する分析を得るために重要です。
組織は多くの脅威に直面しており、ビジネスとその機密情報を保護するには、データにガードレールを設けることが不可欠です。ネットワーク・ペネトレーション・テストはすべての脆弱性を特定し、考えられるすべての侵入ポイントから組織のデータを保護します。脆弱性スキャンは有益な場合もありますが、それほど広範囲にわたるテスト・ツールではないため、どちらかといえば、ペン・テストの補足として使用する必要があります。
ペン・テストを実施することで、どのようなセキュリティー管理が機能していて、どのセキュリティー管理を強化する必要があるかをよりよく理解できます。ネットワーク・ペネトレーション・テストにより、組織はセキュリティー体制を分析することもできます。
組織のネットワークの脆弱性を事前に分析することで、データ侵害の可能性をほぼ排除できます。ペン・テストは、セキュリティー評価とサイバーセキュリティー・スキャンを通じて全体的なセキュリティーを向上します。