ペネトレーションテスト（ペンテスト）とは何か、いつ実施すべきか

防御が持ちこたえるかどうかを知る最良の方法は、実際の攻撃者がやってくる前に、管理された条件下で誰かにそれを破ろうとさせることです。それがペネトレーションテスト、すなわちペンテストです。承認された専門的な模擬攻撃で、システムの脆弱性を積極的に探し出し、修正できるようにします。自動スキャンとは異なり、ペンテストはツールと人間の創造性を組み合わせ、実際の攻撃者のように不具合を連鎖させて、ツールだけでは見えないものを見つけ出します。

この記事では、ペンテストとは何か、どのような種類があるか、プロセスはどうなっているか、そしていつ実施するのが適切かを説明します。

ペンテストとは何か、何ではないか

ペネトレーションテストは攻撃的なセキュリティ評価です。承認された専門家（しばしば倫理的ハッカーと呼ばれます）が、あなたの許可のもと、合意された規則の範囲内でシステムへの侵入を試み、その方法を文書化します。これは潜在的な不具合を列挙するだけの単なる脆弱性スキャナーではありません。ペンテストはそれらを実際に検証し、現実の影響を示し、誤検知を除外します。その結果として、攻撃者がどこまで到達しうるかについての正直な姿が得られます。

ペンテストの種類

範囲と出発点となる情報に応じて、ペンテストはいくつかの形に分類されます。

• ブラックボックス：チームは情報なしで、実際の外部攻撃者のように始める。
• グレーボックス：一定の情報や限定的な認証情報を持って始める。
• ホワイトボックス：コードとアーキテクチャへの完全なアクセスで徹底的に分析する。
• 外部：インターネットに公開されたシステムに対して行う。
• 内部：すでにネットワーク内部にいる攻撃者を模擬する。
• 対象に応じて、Webアプリケーション、モバイル、インフラを対象とする。

プロセスはどうなっているか

専門的なペンテストは明確に定義された段階を踏みます。まず範囲と交戦規定（何に触れてよく、何に触れてはいけないか）を合意し、次に偵察と脆弱性の特定、影響を示すための管理された攻撃、そして最後にレポートの作成が続きます。このレポートこそが真の成果物です。各発見事項、その深刻度、どのように再現したか、そして何より、どう修正するかを優先順位付きで詳述し、チームがどこから着手すべきかを把握できるようにします。

なぜスキャンだけでは不十分か

多くの企業は自動スキャナーで万全だと思い込んでいますが、そこには大きな違いがあります。スキャナーは既知の脆弱性を一つひとつ見つけますが、ペンテスターはそれらを連鎖させ、小さな不具合を組み合わせて大きなアクセスを得て、攻撃者のように考えます。さらにスキャナーは多くの誤検知を生み、あなたのビジネスの文脈を理解しません。ペンテストは、理論上の不具合と、実際にデータをリスクにさらす不具合とを見分ける人間の判断をもたらします。

ペンテストの後に何が起こるか

ペンテストはレポートの提出で終わるのではなく、そこから本当にリスクを減らす部分が始まります。優先順位付けされた発見事項をもとに、チームはまず重大かつ影響の大きい脆弱性を、次に深刻度の低いものを修正し、各修正を計画します。よい実践は、修正を適用した後に再評価（リテスト）を行い、不具合が本当に塞がれたこと、そして解決策が新たな問題を生んでいないことを確認することです。この修正と検証の段階がなければ、ペンテストは治療なき診断にとどまり、投じたお金は実際のセキュリティに結びつきません。

いつ、どのくらいの頻度で実施するか

ペンテストには重要なタイミングがあります。新しい製品やアプリケーションのリリース前、インフラの大きな変更の後、規制や認証への準拠のため、そして定期的に（少なくとも年に一度）です。脅威もシステムも変化するからです。セキュリティは状態ではなくプロセスです。ペンテストはある時点のスナップショットであり、その写真が現実を映し続けるよう、定期的に撮り直すのが賢明です。

AxiomTechでは、アプリケーション、インフラ、ネットワークに対して専門的なペネトレーションテストを実施し、何を修正すべきかを正確に把握できる明確で優先順位付けされたレポートを提供します。攻撃者がどこまで到達しうるかを知りたい方は、ご相談いただければ範囲を一緒に定めます。