ニュース・リサーチ
ウクライナのサイバーセキュリティ分野、特にペネトレーションテスト(ペンテスト)の技術力は、ロシアとの戦争を契機に飛躍的な進歩を遂げました。長年にわたるロシアからのサイバー脅威への対応で培ってきた経験と知見が、戦時下という極限状態において真価を発揮しています。
ペネトレーションテストとは、情報システムの既存のサイバー防御をテスト・分析し、そのセキュリティを評価するための一連の認可(承諾)された手段であり、ペンテスターは、攻撃をシミュレートし、ハッキング技術を駆使して攻撃者の行動を模倣します。即ち、ペンテストの目的は、システムの回復力と脆弱性をテストすることですが、ウクライナ(戦時中)の場合、当然ながら敵国(ロシア)の承諾を得たり、契約を交わしてから侵入を試みるわけではなく、戦争の目的に沿って敵国の政府機関、軍事関連施設などの弱い部分、敵国の国民がパニックを起こしそうな場所を急襲します。
逆に、敵国(ロシア)は、イランや中国や北朝鮮と組み、官民問わずウクライナの重要な組織に対して毎日サイバー攻撃、侵入を試みています。まさにサイバー戦争です。例えば2023年にはウクライナの通信会社『キーウスター』に対して大規模な攻撃があり、防御が手薄だった同社は大きな被害を受け2500万人以上に悪影響が出ました。同社が常日頃から様々なペネトレーションテストを繰り返していれば、防げた、若しくは被害規模を小さくできたと言えるでしょう。
ウクライナのペンテスターたちは、サイバー戦の最前線に立ち、自国のシステムに対する徹底的な脆弱性診断を実施しています。彼らは、高度なエクスプロイト技術やゼロデイ脆弱性の発見に長けており、侵入テストやレッドチームの観点から、システムの防御力を多角的に評価しています。戦争という緊迫した状況の中で、ウクライナのペンテスターたちは、サイバー攻撃の手法や脆弱性の動向を常にアップデートし、最新の脅威に対応できる体制を整えています。彼らは、フォレンジック分析やマルウェア解析の専門知識も駆使し、サイバーインシデントの原因究明と被害の最小化に尽力しています。
ウクライナ政府と民間企業は、こうしたペンテスターの育成にも注力しており、世界的に見ても高い水準のペンテスト教育プログラムを提供しています。これにより、優秀な人材が継続的に輩出され、ウクライナのサイバーセキュリティ分野の発展を支えています。ウクライナのペンテスターたちは、サイバー戦の最前線に立つ「サイバー防衛の要」として、国家の安全保障に不可欠な存在となっています。彼らの高度な技術力と献身的な努力は、サイバー脅威の急速な進化に対応するための鍵であり、ウクライナのサイバーレジリエンスを支える重要な基盤となっています。戦争という過酷な環境の中で鍛え上げられたウクライナのペンテスト技術は、サイバーセキュリティ分野における世界的なベストプラクティスとして注目を集めています。
ウクライナがロシア、中国、イラン、北朝鮮から受けているサイバー攻撃は、戦時下における『生きるか死ぬか』の戦いの(物理的なミサイルも飛び交う)中で起こっています。この経験は日本が有事を迎えた際のサイバーセキュリティー向上に役立ちます。
日本が中国、ロシア、北朝鮮などの国々と戦争状態になった場合、サイバー空間においても激しい攻防が展開されることが予想されます。これらの国々は、高度なサイバー攻撃能力を有しており、日本に対して以下のような攻撃を仕掛けてくる可能性があります。
電力、ガス、水道などのエネルギー関連施設や、交通システム、通信ネットワークなどの重要インフラがサイバー攻撃の標的となります。これらのシステムを麻痺させることで、日本社会に大きな混乱を引き起こすことが目的です。
日本の政府機関や防衛関連企業に対して、機密情報を窃取するためのサイバースパイ活動が活発化すると考えられます。標的型攻撃やAPT(Advanced Persistent Threat)と呼ばれる手法を用いて、長期間に渡って潜伏し、情報を収集します。
日本の金融システムを混乱させるために、銀行やその他の金融機関がサイバー攻撃の対象となります。DDoS攻撃により金融サービスを停止させたり、マルウェアを用いて資金を不正に引き出したりする可能性があります。
日本企業のサプライチェーンを狙ったサイバー攻撃が増加すると予想されます。ソフトウェアやハードウェアの脆弱性を突いて、サプライチェーン全体に影響を与える攻撃が行われる可能性があります。
サイバー空間を利用して、日本国内の世論を操作したり、プロパガンダを拡散したりする活動が活発化すると考えられます。ソーシャルメディアやニュースサイトを通じて、偽情報を拡散し、国民の心理的動揺を引き起こすことが目的です。
重要なシステムやデータを暗号化し、身代金を要求するランサムウェア攻撃が増加する可能性があります。医療機関や教育機関など、社会的に重要な組織が標的となる可能性が高いです。
これらのサイバー攻撃に対抗するために、日本は平時から国家レベルでのサイバー防衛体制を強化し、重要インフラや政府機関、企業のセキュリティ対策を徹底する必要があります。また、ウクライナや同盟国との連携を深め、サイバー脅威に関する情報共有や合同演習などを通じて、総合的なサイバー防衛力を高めていくことが求められます。
刻々と移り変わるサイバー脅威の潮流に対して、御社のデジタル防御はどのレベルにありますか?システムを難攻不落に保ち、悪意ある行為者の魔の手から重要なデータを守るために、どのような対策が必要でしょうか?これらの質問の答えは、侵入テスト(ペネトレーションテスト)をすることで判明します。
ペネトレーションテストは、しばしばペンテストと呼ばれ、システムの脆弱性を検出し、それを悪用することによってシステムのセキュリティを測定する、綿密に管理された評価プロセスです。このプロセスには、組織のネットワーク、データベース、重要な情報システム内の弱点を明らかにすることが含まれます。リスクや脆弱性に無縁な企業は存在しません。強固なデジタル・インフラと厳格なサイバーセキュリティ対策にもかかわらず、残存リスクは常に残っています。多くの組織がリスク評価とセキュリティ戦略の中に侵入テストを組み込んでいるのはこのためです。セキュリティの専門家は、組織のインフラの複雑さを把握し、潜在的なリスクや脆弱性を明らかにするために、ハッカーの役割になりきってこれらのテストを実施します。
ウクライナのペネトレーションテスト(ペンテスト)は、私達が直面してきた特殊な状況を反映し、独自の特徴を持っています。上述のとおり、ウクライナは長年にわたりロシアからのサイバー攻撃の標的となってきました。この経験により、ウクライナのペンテスターは実戦的な環境で技術を磨き、サイバー攻撃の最前線で活躍してきました。彼らは、国家レベルの高度な脅威に対抗するために、最先端のペンテスト手法を開発し、実践してきたのです。
また、ウクライナのペンテスターは、独自のツールやフレームワークを開発することでも知られています。彼らは、オープンソースのツールを改良し、ウクライナ特有の環境に適応させることで、より効果的なペンテストを実現しています。これらのツールの中には、国際的に高く評価されているものもあります。さらに、ウクライナのペンテスターは、サイバー攻撃だけでなく、物理的なセキュリティ評価にも重点を置いています。この背景には、ウクライナが直面してきた物理的な脅威があります。ウクライナのペンテスターは、建物への侵入テストや社会工学的手法を用いて、組織の物理的セキュリティの脆弱性を明らかにすることにも長けているのです。
そして、ウクライナのペンテスト業界は、国家の重要インフラを守るという使命感を持っています。単なる商業的なサービスの提供者ではなく、国家の安全保障に貢献する重要な役割を担っているのです。このような強い責任感が、ウクライナのペンテスターの士気を高め、より高度なスキルの追求を促しています。以上のような特徴から、ウクライナのペンテストは、他国とは一線を画す独自の強みを持っていると言えるでしょう。
ちなみに、世界で最初の侵入テストは、コンピュータ工学の発展とともに、20世紀の70年代から80年代にかけて米国で登場したと言われています。当時、『ハッカー』という言葉は、コードを磨き、巧みにクリーンアップできる人物を意味していました。『ハッカー』とは、コンピュータの可用性をテストし、バグを発見する有能なコンピュータプログラマーのことだったのです。当時、この言葉には悪意はまったく含まれていませんでした。『ハッカー』を最初に輩出した大学は、マサチューセッツ大学とスタンフォード大学です。
本ページでは、ブラックボックス、ホワイトボックス、グレーボックスの各手法について説明し、それぞれがどのように異なるセキュリティ・ニーズに合致しているかを明らかにしていきます。なぜ定期的な侵入テストが重要なのか?サイバー脅威の状況は、頻度、深刻さともに激化の一途をたどっており、あらゆる規模の企業に重大なリスクをもたらしています。このような手ごわい攻撃には、ランサムウェア、フィッシング、クロスサイト・スクリプティング(XSS)やSQLインジェクションなどのWebベースの攻撃があります。
ペネトレーションテストは、悪意ある行為者に悪用される前に、サイバーセキュリティの脆弱性を先制的に発見し、対処しようとするハッカーの視点から実施されます。調査が必要な潜在的な問題を知らせるだけの従来のセキュリティ・テスト・アプローチとは異なり、侵入テストは、確認された脆弱性と、それが業務に及ぼす潜在的な影響を明らかにします。また、システムのセキュリティを精査するための最も一般的な方法であり、正しく実行されれば、その弱点を効果的に明らかにすることができます。ペネトレーションテスターは、さまざまなタイプのペンテストを実施する際に、3つの異なるアプローチを採用しています。
ブラックボックス侵入テストとは、ペンテスターが調査対象について何も知らず、一貫してシステムに関する情報を段階的に蓄積し、エラー、脆弱性、隠された機能を探し、それらを悪用しようとする外部テストです。ブラックボックステストでは、侵入テスト者はターゲット・システムに関する内部知識(例えば組織内システムのログイン情報など)を持たない平均的なハッカーの役割を引き受けます。このアプローチでは、自動化されたスキャニングツールや手作業による手法を使って、ターゲットネットワーク内で実行されているプログラムやシステムを動的に分析します。
ブラックボックス侵入テストの目的は、ネットワーク外部から悪用可能な脆弱性を特定することです。テスターが利用できる情報が限られているため、ブラックボックス侵入テストは、テスターが外向きのサービスの脆弱性を見つけて悪用する能力次第で、迅速に実行できます。しかし、欠点は、境界が突破されなければ、内部サービスの脆弱性が検出されず、パッチが適用されないまま残る可能性があることです。
グレイボックス侵入テストは、インサイダー攻撃シミュレーションとしても知られており、侵入テスト実施者が、ネットワーク図、文書、あるいは、内部ネットワークへの限定的なアクセスなど、部分的な知識は持っているが、完全なシステムアクセスは持っていないハイブリッドアプローチを表しています。例えば、ウェブアプリケーションのペンテストでは、テストチームに特定のテスト認証情報を提供することが一般的であり、これはグレーボックスアプローチであることを示しています。ブラックボックステストとは異なり、テスト実施者は、外部からの理解以上のものを持っていますが、ホワイトボックステストと比較すると、洞察力は低いです。
グレーボックス侵入テストの主な目的は、ブラックボックス評価と比較して、より的を絞った合理的なネットワークのセキュリティ評価を提供することです。設計文書を活用し、ペンテスターはリスクの高いシステムを最初から評価し、この情報を独自に推測する必要性を回避します。内部システム・アカウントにアクセスすることで、要塞化された境界内のセキュリティ対策を調べることができ、長時間のネットワーク・アクセスによる攻撃者の戦術を反映することができます。
ホワイトボックス侵入テストでは、侵入テスターが、認証情報、ネットワーク図、文書、ソースコードなど、対象範囲に完全にアクセスできるようにします。この方法では、侵入テスターは、スキーマ、ソースコード、OS の詳細、IP アドレスなど、システムおよびネットワーク情報の広範な配列を装備して挑みます。
ホワイトボックス侵入テストは、内部と外部の両方の脆弱性を徹底的に評価します。ホワイトボックステストの主な焦点は、アプリケーションの機能を理解し、ソースコードの知識で武装して侵入を試みることです。これは、テスト者がソースコードにアクセスできないブラックボックステストとは対照的です。
外部侵入テストでは、Webアプリケーション、API、企業Webサイト、電子メールシステム、ドメインネームサーバーなど、企業のインターネットから見える資産を、外部侵入テストとして知られるプロセスを通じて評価します。主な目的は、インターネットにアクセスできる外部の攻撃者が悪用できる脆弱性を特定し、対処することです。これは、組織の外部のウェブサーバ、ウェブサイトのホスティング、またはインターネットに接続されたデバイスに対して、「倫理的な」ハッカーによって行われる攻撃をシミュレートするものです。
外部ネットワーク侵入テストでは、インターネットと直接やりとりするシステムのセキュリティを評価することに重点を置きます。これには、ウェブサイト、データベース、ウェブアプリケーション、ファイル転送プロトコル(FTP)サーバーなどの技術を守る要塞が含まれ、通常、組織の「境界セキュリティ」と呼ばれます。ペネトレーション・テスターは、部外者の立場から、重要なビジネス・システムやデータへのアクセスを、事前の知識やアクセスなしに試みます。この種のテストは、外部の攻撃者が使用するテクニックを再現し、侵害に対するシステムの耐性を判断することを目的としているため、非常に重要です。
内部侵入テストは、すでに内部ネットワークに侵入した攻撃者の行動をシミュレートします。これらの評価により、意図的か意図的でないかを問わず、内部脅威がどのように組織を危険にさらすかを明らかにします。セキュリティチームまたは認可されたユーザーが、内部からの攻撃をシミュレートします。一般的な例としては、フィッシング攻撃によって漏洩したスタッフやチームメンバーのアカウントにアクセスすることがあります。このアプローチは、昇格した権限を持つ従業員によって引き起こされる潜在的な危害を評価します。インサイダー(内部侵入テスト)の観点からは、機密情報を盗んだり、組織の運営を妨害したりする潜在的な経路を発見することが目的です。
ソーシャルエンジニアリングテストは、人為的な操作や心理的な搾取に対する組織の感受性を評価することを主な目的とした重要な侵入テスト手法です。技術的な脆弱性だけに焦点を当てた従来のテストとは異なり、ソーシャルエンジニアリングは、組織の人間中心のセキュリティ対策の有効性を調査します。ソーシャルエンジニアリングテストの主な目的は、従業員がどれだけ欺瞞的な手口に抵抗し、潜在的なセキュリティ脅威を認識できるかを評価することです。これには、フィッシングの試み、不正アクセス要求、その他のソーシャルエンジニアリング攻撃に対する従業員の意識の測定も含まれます。
レッドチームは攻撃的な防御戦略を採用し、外部からの攻撃をシミュレートする一方、ブルーチームは防御に集中します。この設定は、レッドチームとブルーチームの衝突を招き、それぞれが相手の防御の弱点を特定しようと努力します。その目的は、組織の防御を突破し、脆弱性を発見し、デジタル、ソーシャル、物理的な領域にわたるセキュリティの弱点を突くことによって、現実の攻撃をシミュレートすることです。レッドチーム演習は、高度な攻撃に対する組織の回復力について重要な視点を提供し、現実世界の脅威を検知し、対応し、回復する能力をテストします。
具体的にレッドチームは、サイバー攻撃からソーシャル・エンジニアリング、さらには物体の物理的侵入(例:スタックスネット・ウイルス)、デジタル機器への攻撃(ハードウェア侵入テスト)に至るまで、さまざまな規模と形態の攻撃手法(攻撃型セキュリティ)、妨害手法を実行します。そのメンバーは、将来的にプロのAPT(Advanced Persistent Threat)ハッカー団体を結成することが多く、政府やその関連機関がスポンサーになることもしばしばです。ブルー・チームはサイバーセキュリティの専門家で、ペンテストを利用して防御技術を鍛えます。レッド・チームとブルー・チームの実践(防御+攻撃戦略)を組み合わせたパープル・チームもいます。
この評価では、サイバーセキュリティの専門家は、場所への物理的なアクセスを伴う攻撃を含む、潜在的な「物理的脅威」の特定と対処に焦点を当てます。これらのシミュレーションには、鍵のピッキング、デバイスの窃盗、従業員を説得してサーバルームへのアクセスを許可させるソーシャルエンジニアリング戦術の採用などが含まれる可能性があります。目的は、安全な手順の違反、誤作動する侵入アラーム、境界フェンスの脆弱性、セキュリティ要員の有効性の評価など、物理的な障壁やセキュリティ対策の弱点を発見することです。
OWASP(Open Web Application Security Project)は、ソフトウェアと電子リソースのセキュリティを向上させることを目的とした国際的なオープンコミュニティです。誰もが、OWASP の方法論の開発に参加する権利を持っており、その資料はすべて自由に配布されています。OWASP テスティングガイドは、最も最新で、よく開発された方法論であり、侵入テストだけでなく、ウェブアプリケーションの 脆弱性を特定することに焦点を当てた方法論であるため、ウェブアプリケーション全般の分析(例えば、ソースコード) に関するガイダンスを提供します。
OSSTMM(The Open Source Security Testing Methodology Manual)は、いわゆる「セキュリティマップ」(セキュリティの視覚的な指標)を含む、よく構造化された方法論です。このマップは、主なセキュリティ領域を示しており、方法論に準拠してテストされるべき要素のセットを含んでいます。
NIST(The United States National Institute of Standards and Technology)は、米国国立技術研究所が開発したサイバーセキュリティの方法論です。セキュリティの評価方法、内部監査、外部監査、侵入テスト、セキュリティプロセスの組織化、結果の分析、組織のISMSの継続的改善のための分析結果の活用に関する推奨事項を含んでいます。この文書は常に更新され、改訂されています。この文書には、NIST 800-115 や NIST 800-181 など、いくつかのバージョンがあります。
PTES(Penetration Testing Execution Standard)は、ペネトレーションテストを実施するための、非常に質が高く、深く開発された標準です。PTESには、多くの推奨事項、記述、要求事項が含まれています。PTESは、ペネトレーションテストの基本的な基礎、原則、基礎を定めています。
MITRE ATT&CK®は、サイバー攻撃を行うための技術と戦術のデータベースです。サイバー防御システム開発の基礎となることを目的としています。
SANS CWE Top 25は、SANS InstituteとMITREがまとめた25の脆弱性のリストです。
ISSAF(Information System Security Assessment Framework)は、情報とサイバーセキュリティに関する膨大な数の問題をカバーする文書です。ファイアウォール、ルーター、アンチウイルスシステムなどのセキュリティ評価について説明した章があります。
BSI(Study A Penetration Testing Model)は、ドイツ連邦情報セキュリティ局が開発したサイバーセキュリティの方法論です。この文書では、侵入テストとシステム回復力テストの実施方法が説明されています。必要なすべての要件、方法論の法的側面、およびペンテストを成功させるために従うべき手順が詳細に記述されています。
PCI DSS(PCI Data Security Standard)は、財務および技術的な運用に関する推奨事項とセキュリティ要件が記載された文書です。この文書はよく構造化されており、広範な理論的根拠を持っています。
ウェブアプリケーションセキュリティコンソーシアム(WASC)は、国際的な専門家、業界の実務家、オープンソースのセキュリティ標準を開発する組織の代表者が参加するウェブアプリケーションセキュリティコンソーシアム(WASC)によるテスト方法論と脆弱性の分類をまとめたものです。
ペネトレーション・テスト・フレームワーク(PTF)は、サイバーセキュリティ研究者のケビン・オーレイによる素晴らしいフレームワークで、ペネトレーション・テストの計画や、サポートするツール、リソース、文書へのリンクが含まれています。
ワイヤレス・ネットワーク侵入テストは、潜在的な侵入に対するコンピュータ・ネットワークの脆弱性を評価します。Wi-Fiのセキュリティを精査することを指し、Bluetooth、BLE、ZigBee、またはその他の無線信号ベースのプロトコル(セキュリティ評価を受けることもできるが、Software-Defined Radioのような特殊なツールが必要)の評価とは異なります。
無線侵入テストの主な目的は、Wi-Fiネットワーク内の脆弱性を暴いて悪用し、組織のネットワークへの不正アクセスを可能にすることです。このプロセスには、無線ネットワークをスキャンし、弱点を検出し、能動的攻撃(WPA2ハンドシェイクのキャプチャとクラックなど)または受動的攻撃(無線認証情報を取得するための不正アクセス・ポイントの作成など)を模倣するための多様なツールと方法論が含まれます。
組織はペネトレーションテストを採用して、潜在的攻撃に対する Wi-Fi ネットワークの脆弱性を見つけることができます。アクセス・ポイント、ワイヤレス・クライアント、および多様なワイヤレス・ネットワーク・プロトコル(Bluetooth、LoRa、Sigfoxなど)を評価することで、暗号化の欠陥やWi-Fi Protected Access(WPA)キーの弱点など、一般的な脆弱性が明らかになります。
モノのインターネット(IoT)は、クラウドサービスからオペレーティングシステム、アプリケーションに至るまで、様々な従来の要素が、同じネットワーク内で相互接続されたスマートデバイスと統合された複雑な相互作用を表しています。
IoT侵入テストの主な目的は、IoTデバイスやシステムに内在する脆弱性や弱点を明らかにし、セキュリティ態勢を強化するための推奨事項を提案することです。これには、設定ミスのあるオープン・ポートの特定、パッチが適用されていないソフトウェアの特定、工場出荷時に設定されている「バックドア」アカウントの発見、デフォルト・パスワードの発見、セキュリティ問題を検出するためのファームウェアの抽出、改ざん防止対策のバイパス、JTAG/UART/SPIのような方法によるデバイスへのアクセスや脱獄の手段の発見など、さまざまな側面が含まれます。
ウェブアプリケーション侵入テストは、ウェブベースのシステムのセキュリティ態勢を評価することを目的とした包括的な評価です。この評価は、構造化された枠組みに従い、多くの場合、OWASP Top 10 for Web Applications のような基本チェックリストから始まります。
侵入テスト者は、ウェブアプリケーションを入念に調査し、SQL インジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリのような脆弱性を探します。発見されると、これらの脆弱性が、ウェブアプリケーションの重要な情報へのアクセスや制御を得るために悪用される可能性があるかどうかを確認するために、厳密に調査されます。
ウェブアプリケーション侵入テストは、データ検証、完全性、認証、ユーザセッション管理などに関連する脆弱性の検出を含みます。ウェブアプリケーションのテストは、通常、偵察、脆弱性の特定、および、これらの脆弱性を悪用してアプリケーションやバックエンドシステムに不正にアクセスしようとする試みの 3 つの段階を含みます。
モバイルアプリケーションの侵入テストでは、モバイルアプリとそれに関連するAPIを包括的に評価します。侵入テストの専門家は、手動および自動化ツールの両方を使用して、特にモバイルアプリの脆弱性を検出します。
モバイルアプリケーションのペネトレーションテストの目的は、Android、iOS、Windows UIなどの多様なオペレーティング・システム上で動作するアプリ内のビジネス・ロジックの欠陥、デプロイメント設定、インジェクションの脆弱性など、セキュリティ上の複雑な問題を発見することです。これらの評価は、多くの場合、OWASP Top 10 Mobileガイドラインに沿ったものであり、ソフトウェア開発ライフサイクルにおけるより包括的な評価については、OWASP Mobile Application Security Verification Standard(MASVS)に従います。
ソーシャルエンジニアリング侵入テストでは、企業の従業員のセキュリティ意識を綿密に評価し、潜在的な攻撃者が悪用可能な脆弱性を検出します。このテストでは、攻撃者が従業員を欺いて機密情報を漏らしたり、重要システムへの不正アクセスを許可したりするシナリオを作成します。技術的な弱点に焦点を当てた他の侵入テスト手法とは対照的に、ソーシャル・エンジニアリングは、人間の心理を利用することで組織のセキュリティを侵害することを目的としています。この多面的なアプローチは、フィッシングEメールや電話を通じて機密情報を引き出そうとするように、リモートで現れることもあれば、物理的な施設へのアクセスを試みることによってオンサイトで現れることもある。どのようなアプローチであっても、その目的は一貫しています。多くの場合、従業員である個人を操り、貴重な情報を漏えいさせることです。
ネットワークペネトレーションテストは、オンサイト、クラウド環境を問わず、ネットワーク・インフラの弱点を明らかにすることに重点を置いています。このテストは、組織の機密データを保護する上で非常に重要です。潜在的な攻撃経路を把握するため、設定、暗号化、パッチの脆弱性を評価します。これには、サーバー、ファイアウォール、ルーター、プリンター、スイッチ、ワークステーションなどの検査が含まれます。これらの弱点を特定することで、設定ミスのファイアウォール、スイッチやルーターを標的とした攻撃、さまざまなDNS、プロキシ、中間者(MiTM)攻撃を利用したサイバー攻撃の可能性を防ぐことができます。ネットワーク・テストには、ファイアウォールのバイパス、ルーターのテスト、侵入防御/検知システム(IPS/IDS)の回避、DNSのフットプリント、オープン・ポートのスキャン、SSH攻撃の試行など、いくつかのタスクが含まれます。
API侵入テストは、アプリケーションプログラミングインタフェース(API)内の脆弱性を明らかにすることを含み、潜在的に悪意 のあるユーザの行動をエミュレートして、アプリケーションの攻撃に対する感受性を評価します。API 侵入テストのプロセスは、ウェブアプリケーションの侵入テストとよく似ています。似たようなツールが利用され、多くの場合BurpSuiteやOWASP ZAPのようなツールが採用され、時にはPostmanやSwaggerと組み合わされ、一般的なウェブアプリケーションの侵入テストの実践を反映しています。注目すべきことに、API侵入テストは、更新された 2023年版のOWASP Top10に専用のセグメントがあり、その重要性を強調しています。認証と認可メカニズムの評価、大量割り当てのような重要な攻撃ベクトルへの対処、アクセス制御問題(IDORやBOLAなど)、レート制限テストなど、APIテスト特有の考慮事項は、API侵入テスト中の重要な側面です。
クラウド侵入テストは、Amazon Web Services、Microsoft Azure、Google Cloud Platform(GCP)のようなパブリッククラウドプラットフォームに収容されたインフラストラクチャとアプリケーション、特にSoftware as a Serviceアプリケーションのセキュリティの弱点を発見し、悪用することを目的としています。その目的は、機密データに不正アクセスし、対象となるインフラストラクチャをコントロールすることです。
さらに、AWS Cognito、Azure AD、S3バケット、RDSなどのクラウドサービスは、設定ミスや問題を抱えている可能性があります。したがって、これらのサービスを特定し、そのニュアンスを理解し、アセスメント中に効果的に利用できる経験豊富なペンテスターを雇うことが不可欠です。
ICS/SCADA ペネトレーション テスト( 産業インフラへのペネトレーション テスト)やブロックチェーンペネトレーションテスト(ブロックチェーンネットワーク、分散型アプリケーション、スマートコントラクトのペネトレーションテスト)も実施します。
ペンテストは、実際のサイバー攻撃を再現し、サイバー防御を迂回し、システムに侵入し、攻撃者の行動をシミュレートし、バグ、エラー、脆弱性を悪用するプロセスです。ペンテストは、古典的なハッキングのフレームワーク、戦略、テクニック、シナリオを使用した公認のハッキングです。
サイバーセキュリティ監査(脆弱性スキャンと評価)は、脆弱性を収集、処理、評価するプロセスです。監査はハッキングを伴わないため、システムにほとんど影響を与えず、運用や構造に変更を加えることもありません。監査は、蓄積されたデータを分析、整理、構造化し、専門家の意見と提言を形成するだけです。監査技術はペンテスターによって様々な段階で適用されますが、監査自体は別のサービスとして提供され、ペンテスターよりも監査人の特権となっています。しかし実際には、この2つのスキルは相互に強く関連しており、優れたペンテスターは同時に優れたオーディターであるべきだと言われています。監査は、手動(手動ペンテスト)でも、SAST(静的)スキャナーやDAST(動的)スキャナーを使った自動化でも行うことができます。ペンテストは手動でのみで行われます。
監査とペンテストのレポートも異なります。通常、ペンテストレポートには、攻撃、その評価、リスクレベル、および排除のための推奨事項に関する情報のみが含まれます。代わりに、セキュリティ監査レポートには、統計、履歴、モニタリング、技術データなど、多くの情報と分析情報が含まれます。一言で言えばペンテストは攻撃、ハッキング、襲撃の技術であり、監査はデータの収集と評価の技術であると言えます。理想は、サイバーセキュリティ監査とペネトレーションテストの両方を含むサイバーセキュリティへの包括的なアプローチを行うことです。
ペンテストの費用は、調査対象の種類(インフラ、サーバー、アプリケーション、電子リソース)、チェックの範囲と数、関与する専門スタッフの数、実行期間、形式/スクリプト(White/Grey/BlackBox Pentestなど)、方法論(PCI-DSS/ISO27001/OWASP/SANS/NIST)、その他多くの要因によって異なります。
ペンテストは、外部または内部、完全手動(手動ペンテスト)または自動・半自動、DAST・SAST・IASTスキャナーまたは他のソフトウェアを使用して実行することができます。また、ペネトレーションテストレポートには、標準、拡張、省略、個別などの種類があります。
国際市場における侵入テストの価格は15,000~100,000ドルですが、ウクライナではその半額程度で実行できる場合があります。
典型的な侵入テストには、いくつかの重要な段階があります。侵入テストの目的と範囲によって、いくつかのフェーズに重点を置き、他のフェーズを省略することもあります。プロバイダーやテストの種類によって多少異なります。
この段階では、テスターとクライアントの双方が、どのようなシステムをテストするか、テスターが使用する方法、追加の目標や法的な検討事項など、契約の詳細について打ち合わせを行います。契約締結に向けて、協力の条件、ペンテストの条件、ウェブサイトやリソースの所有権の確認と所有者の許可、その他の詳細を明記した二国間契約を締結します。別途、情報非開示(NDA)に関する条項があります。
テスターはテスト対象に関する情報収集に取りかかります。これには、関係者から使用する技術、システムの詳細まで、あらゆるものが含まれます。
収集した包括的な情報を武器に、テスターは実際の攻撃者の視点を採用します。彼らの焦点は、顧客のシステム内の潜在的な弱点を特定し、評価することに移ります。
この段階では、特定された脆弱性を利用しますが、常に準備段階で設定された範囲内で行います。
ペンテストチームは、対象となるシステムを悪用したら、そこから可能な限り多くの情報を収集し、特権を昇格する方法を見つけたり、システムやアプリケーションへの永続的なアクセスを確立する機会をチェックしたりします。
テスターは、使用した方法、どの脆弱性が悪用されたか、それらを修正するための推奨事項、およびその他の重要な情報を詳述した報告書をクライアント向けに作成します。
テスターは、弱点が修正されていることを確認するために、テストを再実行します。このステップは必ずしもプロセスの一部ではないですが、安心感を高めるためにクライアントから要求されることがあります。
御社にとって、脆弱性の特定は出発点に過ぎません。コンプライアンスまたはサイバーセキュリティプログラムの寿命と有効性は、一貫したメンテナンスと定期的なレビューにかかっています。このアプローチにより、時間の経過とともに進化する新たな脅威に対抗するための適応性が確保されます。
ウクライナのペネトレーションテストサービスの専門家は、社内外のインフラ、ワイヤレスアプリケーション、ウェブアプリケーション、モバイルアプリケーション、ネットワーク構造、コンフィギュレーションなど、さまざまな業界の複雑な脆弱性の発見と是正を支援します。また、戦時下という特殊な条件下で得られた経験を活かし、日本企業のサイバー防衛力向上を図っていきます。
適切な侵入テストのタイプを選択するかどうかは、組織の規模、ITインフラの複雑さ、コンプライアンス要件、事業運営の性質など、いくつかの要因によって異なります。サイバーセキュリティの専門家と協力して特定のニーズとリスクを評価することで、組織に最も適した侵入テストのタイプを決定することができます。
ペンテストにとって最も重要な時期は、侵害が発生する前です。侵入が発生した場合、実施した緩和策の有効性を検証するために、侵入後の修復ペンテストが不可欠になります。ベストプラクティスでは、開発段階またはシステムが本番稼動する前にペンテストを実施することを推奨しています。
組織は、少なくとも年1回のセキュリティテストを予定し、大規模なインフラ変更後、製品発売前、または合併や買収の際には追加評価を行う必要があります。大規模な個人データや財務データ、または厳格なコンプライアンス指令がある企業は、より頻繁なペネトレーションテストを検討する必要があります。
ウクライナのペネトレーションテスト(ペンテスト)サービスは、御社のサイバーセキュリティ強化に大きく貢献できると確信しております。ウクライナのペンテスターは、長年にわたりサイバー攻撃の最前線で戦ってきました。ロシア、ベラルーシ、中国、イラン、北朝鮮など、国家レベルの脅威に対抗するために、独自の高度なペンテスト技術を開発し、実践してきた経験を持っています。この貴重なノウハウを、日本の企業の皆様のサイバー防衛力強化に役立てたいと考えております。実は、これまでに様々な形で日本企業や政府のサイバーセキュリティーをサポートしてきた経験もあります。
ウクライナのペンテストは、単なる脆弱性の発見に留まりません。御社の事業環境に合わせたカスタマイズされたペンテストを提供し、実効性の高い改善提案を行います。また、独自開発のツールやフレームワークを用いることで、他社では発見できない脆弱性の特定を可能にします。加えて、物理的なセキュリティ評価にも精通しております。サイバー空間だけでなく、現実世界の脅威に対する備えも万全にすることで、御社の総合的なセキュリティ体制の強化を支援いたします。
ウクライナのペンテストサービスを通じて、御社のサイバーレジリエンスを高め、ビジネスの継続性を確保することが可能となります。長期的なパートナーシップを通じて、日本のサイバーセキュリティ分野の発展に貢献したいと願っております。ぜひ、ウクライナのペンテストサービスをお試しいただき、その効果を実感してください。
なお、ウクライナのペネトレーションガイドを制作中ですので、記事が出来上がりましたら、お届けします。
関連情報